在《用什么措施来保护危在旦夕的应用程序（一）》中，我们介绍了为什么要解决应用程序安全问题以及如何开始。本文我们将介绍企业在解决应用安全方面应该进行哪些部署。

　　确认漏洞及其修复的优先顺序

　　没有哪家企业能够同时修复所有的漏洞，况且所有应用程序的安全漏洞是动态变化的，所以一个高效的分类系统是至关重要的。要高度重视修复那些被评估为具有潜在影响和发生可能性的漏洞。应用程序扫描和测试工具可以帮助你确认特定的应用程序漏洞，借助于工具以及你自己的经验和判断你可以确定需要解决的漏洞的优先顺序。

　　让IT安全与应用程序开发联合起来

　　通常情况下，通过对单位已经部署的应用程序实施扫描和测试技术，IT安全团队将是开始应用程序安全工作的人员。你需要避免的是，IT安全团队找到了漏洞，然后将其交给应用程序的开发团队去解决。如前所述，开发人员的职责主要是增加应用软件的功能，加速版本的更新等，而不是解决由主动扫描和测试所确认的漏洞。只有当IT安全和应用程序的开发团队在思考问题时考虑的是“我们”而不是区分为“我们”和“他们”时，才能真正为解决问题起到建设作用。

　　在IT安全、操作、应用程序的开发团队之间建立良好的交流将有助于确认和修复应用程序的安全漏洞。

　　采用一种主要的策略

　　在你主动解决问题的早期阶段，你可以将主动扫描和测试中得到的结果，作为向应用程序开发团队提供的确凿证据。你最终将涉及讨论的核心问题，即在规范的应用程序开发周期的重要阶段：分析、设计、实施、测试、发布、部署、持续支持。只有这样，你才能认识到应用程序的安全漏洞如何以最恰当的方式来确认和修复。

　　在这个问题上，正确的看法应当是：公司应当从源头上解决安全问题，也就是将安全的应用程序开发工具和方法集成到软件的开发周期中，而不是在查找、修复漏洞的旋涡中挣扎。

　　虽然“源头安全”是目前最常见的方法，但它不可能一蹴而就，应在开发应用程序的过程中时刻牢记此观念。

　　培训开发人员

　　事实上，在应用程序安全策略中的教育和培训中，不同的公司之间并没有什么明显的差距。因此公司还有很多改进的空间。简言之，不要仅仅告诉开发人员说“你弄错了”，而要让其认识到如何正确地安全地开发程序。

　　与管理层交流

　　管理部门不仅要确立应用程序安全的优先权，而且要分配必要的工具和资源。安全管理人员要明明白白地表达真实的安全事件，这样企业的领导人就会有时间来思考安全问题，从而确保资源的分配与企业的战略保持一致。

　　总结

　　应用程序所带来的安全威胁局势，以及企业应用程序组合的规模和种类都在发生着变化，一次真正的安全事件的实质影响是企业在应用程序安全方面进行投资的最显著动因。但最重要的因素是，投资于应用程序安全可以给企业带来巨大的投资回报。最好的做法就是现在行动。企业不妨采用一种基于风险的方法：1、确认你的应用程序组合，理解企业已经拥有的应用程序种类和数量。2、确认最大的风险，把最高的优先权给与特定的应用程序。3、确认特定应用程序的漏洞，根据应用程序安全工具的使用和自己的经验和判断，区分应用程序修复的优先顺序。

　　而且要理解并使用自己的工具，要充分利用应用程序漏洞的扫描、渗透测试和人工源代码检查、静态源代码分析和验证、动态源代码分析。实践证明，这些工具和技术正是在安全问题上区分不同公司的关键所在。当然，企业必须选择可以给企业最大灵活性的解决方案。