确保Web安全开发意味着将漏洞看作Bug

日期: 2011-12-22 作者:Gil Danieli翻译:Odyssey 来源:TechTarget中国 英文

在其最近发布的Web站点安全统计报告中(1),白帽安全网站发现,在2010年期间平均每个Web站点有230个可能导致被入侵或是数据丢失的漏洞。其他最近的研究也显示,大约70%到80%的Web应用包含严重的漏洞(2)。并且在OWASP(开放Web应用安全项目)的2010年10大风险报告中也报道,这10大软件风险占据Web站点软件漏洞的绝大部分(3)。   这仅仅是回顾了多年来漏洞的一系列最新报告,几乎所有报告都显示出同一问题:Web站点和应用仍带着安全漏洞被发布,即使这些漏洞可以很容易地被纠正。

不幸的是,这些安全漏洞大多只是在应用和Web站点发布后才被发现。一个有关安全的老生常谈的是,建设安全容……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在其最近发布的Web站点安全统计报告中(1),白帽安全网站发现,在2010年期间平均每个Web站点有230个可能导致被入侵或是数据丢失的漏洞。其他最近的研究也显示,大约70%到80%的Web应用包含严重的漏洞(2)。并且在OWASP(开放Web应用安全项目)的2010年10大风险报告中也报道,这10大软件风险占据Web站点软件漏洞的绝大部分(3)。

  这仅仅是回顾了多年来漏洞的一系列最新报告,几乎所有报告都显示出同一问题:Web站点和应用仍带着安全漏洞被发布,即使这些漏洞可以很容易地被纠正。不幸的是,这些安全漏洞大多只是在应用和Web站点发布后才被发现。一个有关安全的老生常谈的是,建设安全容易(并且成本低廉),而不是事后通过补救措施才将螺栓拧紧。
 
  为什么这些漏洞能逃过十分熟练的开发人员的眼睛呢?他们开发的应用和Web站点越来越多地支撑着我们全球的经济。作为安全从业人员,我们怎么实现安全Web开发,并为开发人员提供需要的工具来减少这些类型漏洞的数量和发生频率呢?对组织来说,关键是要把安全漏洞像软件缺陷那样来对待,即Bug。

  这个示范式转变中的第一步,也许也是最艰难的一步,就是让开发部门经理和安全官员对该看法达成一致,把安全漏洞作为可用性或是功能性上的bug来对待。大多数的开发部门经理专注于功能上的缺陷,这些缺陷阻碍了软件正常地运行。挑战在于,让他们明白如果安全漏洞被利用,也可能导致软件无法正常运行,不仅需要宕机时间来修补缺陷,还给组织在经济和名誉上造成损失。

  安全漏洞就是软件缺陷,需要以同样的方式精确地处理。就这点达成一致可能具有挑战,因为开发部门经理通常不理解安全漏洞对业务潜在的影响,他们不了解如何辨别安全漏洞,甚至即使他们能找到漏洞也不知道该如何纠正。

  为了支持开发人员克服这些挑战,安全团队可以通过定期的对已在生产环境中的应用和Web站点进行漏洞评估来改进Web应用安全测试。像IBM或是Vercode公司提供的Web安全扫描工具可用于这种类型的测试。测试完成后,开发人员应负责为这些被发现的安全“bug”创建正式的补救计划。这样做,开发人员会逐步熟悉安全测试及补救措施的整个周期。

  一旦开发人员习惯了为生产环境中软件实施的安全测试和纠正周期,下一步就是将安全测试融合进上线前的QA(质量保证)过程中,同样使用之前用于安全评估的工具。在这点上,安全bug工单应该像其它bug工单一样开启,使用开发人员已上手的同样的bug追踪系统。

  到了下个步骤,我们能进一步利用软件开发生命周期(software development life cycle,SDLC)模型,以确保开发和测试Web应用的方式的一致性。即使是仅仅开发内部使用软件的小型公司,也正在建立严格的SDLC过程来减少bug。可以利用这些相同的流程,有效地找到安全漏洞。为了充分利用这些已建好的SDLC过程,很可能需要培训开发人员使用上述的工具来找出安全缺陷。好几家厂商提供基于Web的平台,它能够很容易地集成进SDLC过程,并且允许开发人员在SDLC过程的早期,在单元级别测试他们的代码。作为附加的好处,许多这样的工具能在侦测到缺陷时向开发人员提供修复建议。最后,这些工具大多数能与开发人员已使用的bug追踪工具集成,把安全漏洞当作功能性的缺陷来进行闭环管理。

  通过重新定义安全漏洞为功能性的缺陷或bug,并为Web开发人员提供需要的工具和流程来确定bug和修复它们,这样安全利益相关人就让安全作为组织SDLC过程中不可或缺的一部分,即建设安全而不是事后拉紧门闩。这不仅会促进Web站点和Web应用成本降低,而且更加安全。

  关于作者:

  Gil Danieli是一家国际金融机构的信息安全主管。具有超过20年的技术和信息安全从业经验。Danieli主要关注为当今的安全挑战寻找可操作的,低廉的解决方案,而不仅是满足合规检查的条条框框。

  1. 白帽网站安全统计报告(WhiteHat Website Security Statistics Report)
  网址: https://www.whitehatsec.com/resource/stats.html
  2. Veracode 软件安全现状报告(Veracode. State of Software Security Report)
  网址:http://info.veracode.com/state-of-software-security-report-volume3.html
  3. OWASP2010年度十大Web应用安全风险(OWASP Top 10 - 2010: The Ten Most Critical Web Application Security Risks)
  网址:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

相关推荐

  • 五个常见的Web应用漏洞及其解决方法

    本文介绍了5个最常见的Web应用漏洞,以及企业该如何修复初级问题,对抗那些针对这些漏洞的攻击。

  • Windows XP古老Bug使病毒横行网络

    当你在机场、咖啡厅或图书馆打开笔记本电脑搜索无线网络时,很可能发现过一些莫名其妙的Ad hoc直连连接。为什么会出现这种情况了?

  • 五大搜索引擎问题调查:谷歌“大虫”最少,微软必应爬满“虫”

    8月份,一家名为uTest的公司召集了1100名开发者对五款搜索引擎进行了有奖找Bug评议活动,活动为期一周,只有那些找到新Bug或未对外界公开 Bug的人才能获奖。这五款搜索引擎包括谷歌,雅虎,必应以及谷歌的下一代搜索平台“Caffeine”的最新版本。这次评议的结果表明,谷歌搜索引擎的 Bug数量很少,严重Bug的数量则最少;而微软的必应则Bug数最多,但在搜索精度方面则表现良好。有趣的是……

  • 新Firefox漏洞发现 Mozilla否认有风险

    Firefox 3.5.1的发布修复了多个重大安全漏洞,但仅仅过了几天,Firefox又曝出新的漏洞。新bug与浏览器处理超长Unicode字符串有关,会导致某些版本的Firefox崩溃……