用什么措施来保护危在旦夕的应用程序(二)

日期: 2011-12-20 作者:茫然 来源:TechTarget中国

在《用什么措施来保护危在旦夕的应用程序(一)》中,我们介绍了为什么要解决应用程序安全问题以及如何开始。本文我们将介绍企业在解决应用安全方面应该进行哪些部署。   确认漏洞及其修复的优先顺序   没有哪家企业能够同时修复所有的漏洞,况且所有应用程序的安全漏洞是动态变化的,所以一个高效的分类系统是至关重要的。要高度重视修复那些被评估为具有潜在影响和发生可能性的漏洞。

应用程序扫描和测试工具可以帮助你确认特定的应用程序漏洞,借助于工具以及你自己的经验和判断你可以确定需要解决的漏洞的优先顺序。   让IT安全与应用程序开发联合起来   通常情况下,通过对单位已经部署的应用程序实施扫描和测试技术,IT安全……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

《用什么措施来保护危在旦夕的应用程序(一)》中,我们介绍了为什么要解决应用程序安全问题以及如何开始。本文我们将介绍企业在解决应用安全方面应该进行哪些部署。

  确认漏洞及其修复的优先顺序

  没有哪家企业能够同时修复所有的漏洞,况且所有应用程序的安全漏洞是动态变化的,所以一个高效的分类系统是至关重要的。要高度重视修复那些被评估为具有潜在影响和发生可能性的漏洞。应用程序扫描和测试工具可以帮助你确认特定的应用程序漏洞,借助于工具以及你自己的经验和判断你可以确定需要解决的漏洞的优先顺序。

  让IT安全与应用程序开发联合起来

  通常情况下,通过对单位已经部署的应用程序实施扫描和测试技术,IT安全团队将是开始应用程序安全工作的人员。你需要避免的是,IT安全团队找到了漏洞,然后将其交给应用程序的开发团队去解决。如前所述,开发人员的职责主要是增加应用软件的功能,加速版本的更新等,而不是解决由主动扫描和测试所确认的漏洞。只有当IT安全和应用程序的开发团队在思考问题时考虑的是“我们”而不是区分为“我们”和“他们”时,才能真正为解决问题起到建设作用。

  在IT安全、操作、应用程序的开发团队之间建立良好的交流将有助于确认和修复应用程序的安全漏洞。

  采用一种主要的策略

  在你主动解决问题的早期阶段,你可以将主动扫描和测试中得到的结果,作为向应用程序开发团队提供的确凿证据。你最终将涉及讨论的核心问题,即在规范的应用程序开发周期的重要阶段:分析、设计、实施、测试、发布、部署、持续支持。只有这样,你才能认识到应用程序的安全漏洞如何以最恰当的方式来确认和修复。

  在这个问题上,正确的看法应当是:公司应当从源头上解决安全问题,也就是将安全的应用程序开发工具和方法集成到软件的开发周期中,而不是在查找、修复漏洞的旋涡中挣扎。

  虽然“源头安全”是目前最常见的方法,但它不可能一蹴而就,应在开发应用程序的过程中时刻牢记此观念。

  培训开发人员

  事实上,在应用程序安全策略中的教育和培训中,不同的公司之间并没有什么明显的差距。因此公司还有很多改进的空间。简言之,不要仅仅告诉开发人员说“你弄错了”,而要让其认识到如何正确地安全地开发程序。

  与管理层交流

  管理部门不仅要确立应用程序安全的优先权,而且要分配必要的工具和资源。安全管理人员要明明白白地表达真实的安全事件,这样企业的领导人就会有时间来思考安全问题,从而确保资源的分配与企业的战略保持一致。

  总结

  应用程序所带来的安全威胁局势,以及企业应用程序组合的规模和种类都在发生着变化,一次真正的安全事件的实质影响是企业在应用程序安全方面进行投资的最显著动因。但最重要的因素是,投资于应用程序安全可以给企业带来巨大的投资回报。最好的做法就是现在行动。企业不妨采用一种基于风险的方法:1、确认你的应用程序组合,理解企业已经拥有的应用程序种类和数量。2、确认最大的风险,把最高的优先权给与特定的应用程序。3、确认特定应用程序的漏洞,根据应用程序安全工具的使用和自己的经验和判断,区分应用程序修复的优先顺序。

  而且要理解并使用自己的工具,要充分利用应用程序漏洞的扫描、渗透测试和人工源代码检查、静态源代码分析和验证、动态源代码分析。实践证明,这些工具和技术正是在安全问题上区分不同公司的关键所在。当然,企业必须选择可以给企业最大灵活性的解决方案。

作者

茫然
茫然

暂无

相关推荐

  • 几个小技巧 强化你的加密

    加密并不像我们认为的那样强健。但我们仍有一些方法可以减少与加密有关的已知漏洞。本文介绍了强化加密安全性的几个技巧。

  • 选择端点保护方案应重视哪些功能?

    在本系列文章中,笔者将对如何更好地选择和部署端点保护方案进行探讨,本篇为第一部分,列举了选择端点保护方案最应重视的功能。

  • 悲催的CISO:数据泄露事故的替罪羊

    CISO往往被视为数据泄露事故发生时的替罪羊,事实上,CISO可以使用一定的策略来赢得高管团队更高水平的信任,并让CISO的职位得到更多重视和尊重。

  • 企业安全风险评估应考虑网络设备的年龄

    最新数据显示,超过50%的网络设备正在老化或者已经过时,这给企业造成安全隐患。在本文中,专家Kevin Beaver探讨了企业该如何将设备年龄纳入安全风险评估考虑中。