企业问题之落实应用程序开发安全性
发布时间:2022-04-14 15:35:51 所属栏目:安全 来源:互联网
导读:笔者之前看过一篇文章写得很好,里面提及了会写程序的有很多人,但是会写安全程序却没有几个。 在开发阶段就落实正确而安全的程序写法,是最彻底解决的办法! 当上线之后,才发现程序本身就不安全,那么可能为时已晚。 因此,市面上也出现了静态程序代码安全
|
笔者之前看过一篇文章写得很好,里面提及了会写程序的有很多人,但是会写安全程序却没有几个。 在开发阶段就落实正确而安全的程序写法,是最彻底解决的办法! 当上线之后,才发现程序本身就不安全,那么可能为时已晚。 因此,市面上也出现了”静态程序代码安全性检测”及”动态程序代码安全性检测”工具,希望帮助企业在安全意识不足的情况下,透过工具的自动化扫描,抓出安全性漏洞,并提供弱点解说与修正建议,进而学会处理的方式。 动态程序代码检测工具及渗透测试都是在模拟黑客的手法,尝试找到网站的弱点,并提供相关报告。这种作法比静态程序代码安全性检测全面,因为可以抓出操作系统、应用服务器的漏洞,及设定面问题。 不过,静态程序代码安全性扫描工具的强项在于,能地毯式地扫描程序代码、抓出不安全的写法,并提供修正建议,是从根源就做好防护的安全性作法。 毕竟软件上线后才发现问题,再去解决的成本是开发阶段的100倍。 OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美国年会上,开宗明义说道:”很多单位把大部分的安全预算花在‘黑(Hacking)’,也就是做渗透测试跟扫描。这没什么错,这些工作是重要的,但是我们没办法把自己‘黑’得更安全。” 在开发阶段就落实正确而安全的程序写法,是最彻底的解决办法。若再搭配渗透试,可进一步验证成效。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号