已收藏,可在 我的資料庫 中查看
關(guān)注作者
您可能還需要

安全問題系列一|每位開發(fā)者必問的五個安全問題

這是安全系列的第一期內(nèi)容。

安全問題系列一|每位開發(fā)者必問的五個安全問題

(圖片來源:圖蟲創(chuàng)意)

【編者按】關(guān)于安全防護的問題,我們將有兩期系列內(nèi)容,這是安全系列的第一期內(nèi)容,如閱讀第二期內(nèi)容,請關(guān)注后期推送。

開發(fā)團隊在互聯(lián)網(wǎng)應(yīng)用的安全方面扮演著至關(guān)重要的角色。雖然不良因素是開發(fā)團隊遇到的最重要的威脅,但他們也面臨著重大內(nèi)部挑戰(zhàn),即在平衡業(yè)務(wù)、工程和安全利益的同時,實施安全修復(fù)。

這里提出了五大安全問題,賣家可以提高對應(yīng)用安全需求的認識,降低網(wǎng)絡(luò)應(yīng)用安全事件給企業(yè)帶來的業(yè)務(wù)風(fēng)險。

一、如何識別和修復(fù)應(yīng)用程序代碼中的漏洞?

動態(tài)和靜態(tài)應(yīng)用安全測試工具有助于發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用中的漏洞。DAST和SAST工具分別以不同的工作方式幫助尋找運行時的弱點:DAST試圖對網(wǎng)絡(luò)應(yīng)用程序進行攻擊(如跨站腳本),而SAST工具則尋找源代碼中的不安全操作(如未初始化的變量)。在持續(xù)集成/持續(xù)部署(CI/CD)管道中使用這兩種工具,有助于在軟件開發(fā)過程中發(fā)現(xiàn)缺陷,然后再進入生產(chǎn)模式。

一些源碼控制存儲庫可以與CI實踐集成,在每次更改時運行安全掃描。存儲庫可能要求CI實踐執(zhí)行SAST,并作為每個變更請求的一部分。如果掃描報告發(fā)現(xiàn)安全問題,存儲庫可能會阻止變更請求的批準(zhǔn)。手動或自動執(zhí)行這些掃描的團隊可以大大減少他們的安全風(fēng)險。同樣地,CD可以在部署新代碼時運行DAST掃描。

掃描可能產(chǎn)生許多結(jié)果。即使在漏洞管理系統(tǒng)的幫助下,也需要時間來評估和確定它們的優(yōu)先次序。網(wǎng)絡(luò)應(yīng)用程序防火墻(WAF)使您能夠在團隊確定漏洞優(yōu)先級并對修復(fù)應(yīng)用功能時立即采取行動。

此外,對受WAF保護的網(wǎng)絡(luò)應(yīng)用程序運行DAST掃描,可以進一步改善該程序的整體安全態(tài)勢。WAF未能阻止的任何攻擊都將被安全團隊識別出來,以便進一步進行微調(diào)。如果WAF包含的規(guī)則不能緩解DAST掃描發(fā)現(xiàn)的威脅,還可以編寫和部署一個自定義的WAF規(guī)則來處理特定的威脅。開發(fā)團隊不再需要等待安全補丁或即將發(fā)生的攻擊來減輕這些威脅。

安全問題系列一|每位開發(fā)者必問的五個安全問題

(圖片來源:Edgio)

>>現(xiàn)在預(yù)約1:1專家診斷

二、如何識別和修復(fù)技術(shù)堆棧中的漏洞?

現(xiàn)代網(wǎng)絡(luò)應(yīng)用技術(shù)堆棧由許多組件組成,如前端框架、網(wǎng)絡(luò)和數(shù)據(jù)庫服務(wù)器以及網(wǎng)絡(luò)開發(fā)框架。其中一些組件可通過插件、擴展和附加組件進行擴展。每個應(yīng)用安全程序都應(yīng)該包括第三方組件的清單以及理解和應(yīng)用關(guān)鍵安全補丁。然而,關(guān)鍵的補丁有時并不能在不改變應(yīng)用程序代碼的情況下應(yīng)用,需要進行開發(fā)沖刺。

軟件補丁為企業(yè)提供了更多的時間來修復(fù)已知的安全漏洞。網(wǎng)絡(luò)應(yīng)用團隊?wèi)?yīng)定期測試和應(yīng)用軟件補?。ㄈ缑吭禄蛎慨?dāng)有軟件發(fā)布時)。這樣做可以減少漏洞存在的時間,并減少攻擊者利用它的時間。缺陷存在的時間越長,惡意攻擊者利用它們的可能性就越大。

WAF使開發(fā)團隊能夠立即進行修復(fù)以防止攻擊,同時為修補和更新應(yīng)用程序代碼提供喘息的機會。

雖然在分級環(huán)境或QA環(huán)境中運行WAF可以深入了解特定的WAF配置是否能防止攻擊,但不能替代針對實際生產(chǎn)網(wǎng)絡(luò)流量運行WAF。了解我們的雙WAF模式功能,如何使安全團隊在生產(chǎn)流量上測試新的WAF配置文件,阻止新出現(xiàn)的威脅,并將響應(yīng)時間縮減到86%。

三、應(yīng)用程序更新過程是怎樣執(zhí)行的?

基于舊技術(shù)堆棧上的應(yīng)用程序應(yīng)該被更新或退役。如果技術(shù)堆棧沒有得到維護,許多公司就不能再修復(fù)舊的應(yīng)用程序代碼。平衡安全與業(yè)務(wù)的需求,可能需要一個臨時解決方案。運行一個全面的DAST掃描和一個精心調(diào)整的WAF,并在需要時使用適當(dāng)?shù)淖远x規(guī)則,使您能夠安全地運行Web應(yīng)用程序,直到它們被升級或退役。

四、安全事件對服務(wù)器容量的影響是什么?

平衡服務(wù)器容量和云計算成本是客戶體驗和業(yè)務(wù)需求之間的一個權(quán)衡。然而,分配服務(wù)器容量來容納非法用戶并不是最好的方法。

盡管仍然存在大規(guī)模DDoS攻擊的威脅,但在1 Gbps范圍內(nèi)的攻擊更為常見。這些高要求的安全事件,以及使用您的網(wǎng)絡(luò)應(yīng)用程序的自動掃描或爬蟲,可能不會成為新聞,但會影響您的客戶在您的網(wǎng)站上的體驗。

利用基于云的WAF可以將這些不良流量在影響您的網(wǎng)絡(luò)應(yīng)用之前過濾掉它們,為實際用戶保留服務(wù)器容量。

安全問題系列一|每位開發(fā)者必問的五個安全問題

(圖片來源:Edgio)

>>立刻預(yù)約免費網(wǎng)速&安全診斷

五、有哪些需要遵守的合規(guī)要求?

根據(jù)您的行業(yè)和應(yīng)用類型,您的應(yīng)用可能需要符合行業(yè)法規(guī)。如果您的網(wǎng)站處理信用卡支付,那么它可能必須符合PCI標(biāo)準(zhǔn)。因為您的應(yīng)用程序使用和保留的數(shù)據(jù)具有敏感性,您的公司可能需要符合SOC 2類型。許多這些行業(yè)法規(guī)都需要使用WAF。即使沒有適用的行業(yè)法規(guī),您可能要考慮遵循行業(yè)的最佳實踐和準(zhǔn)則。您可以使用互聯(lián)網(wǎng)安全控制中心或AWS的Well-Architected Framework。這兩者都建議使用WAF,因為它可以檢查和過濾惡意的網(wǎng)絡(luò)流量。

保護您的網(wǎng)絡(luò)應(yīng)用是一項重要的任務(wù),需要平衡安全、工程和商業(yè)利益。有時,這些利益會發(fā)生沖突,使開發(fā)人員很難采取行動。

開發(fā)團隊對威脅進行優(yōu)先排序,并將修復(fù)措施執(zhí)行到您的CI/CD管道時,WAF可以幫助縮小這一差距。我們強大的、具有成本效益的WAF洞察力降低了采用WAF的門檻。

請聯(lián)系我們,以獲得關(guān)于加強網(wǎng)絡(luò)安全和我們的WAF洞察力的所有問題的答案。

安全問題系列一|每位開發(fā)者必問的五個安全問題

(圖片來源:Edgio)

Edgio(NASDAQ:EGIO)是邊緣軟件解決方案提供商,通過對內(nèi)容交付、應(yīng)用和流媒體平臺的無縫集成,提供無與倫比的安全數(shù)字體驗。全球規(guī)模的技術(shù)和專家服務(wù)為全球品牌賦能,覆蓋教育、娛樂、現(xiàn)場實況及各種應(yīng)用,為每一位用戶提供迅捷、動態(tài)和流暢的數(shù)字體驗。Edgio致力于提供無與倫比的客戶服務(wù),并在每一步都擴展價值,驅(qū)動了全球約20%的互聯(lián)網(wǎng)流量,為受歡迎的節(jié)目、電影、體育、游戲、音樂以及即時加載網(wǎng)站提供強大的支持服務(wù)。

>>填寫申請,預(yù)約絲滑網(wǎng)速體驗

(編輯:江同)


(來源:limelight)

以上內(nèi)容僅代表作者本人觀點,不代表雨果跨境立場!如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與雨果跨境取得聯(lián)系。

相關(guān)標(biāo)簽:

分享到:

--
評論
最新 熱門 資訊 資料 專題 服務(wù) 果園 標(biāo)簽

收藏

--

--

分享