华盛顿国家海港——企业的信息安全团队一直努力捍卫着软件开发的安全，但是由于诸多原因一直在“打败仗”。这就是为什么Gartner一位分析师认为现在该是时候将战略的重点转移到使用Web应用防火墙来增强应用。把它作为更为广泛的应用安全架构的一部分。

　　在Gartner安全与风险管理峰会上，演讲人Ramon Krikken直截了当地表示当前企业的应用安全状态不妙。他是Gartner公司的研究副总裁，该公司位于康涅狄格州斯坦福市。

　　Krikken援引了来自WhiteHat Security有限公司的统计数据，该数据表明在去年一年几乎三分之一的Web应用容易受到SQL注入攻击，并且超过三分之二的Web应用有跨站点脚本缺陷。同样WhiteHat Security估计银行业将会需要400个工作日来为它们应用中存在的90%的缺陷打补丁，Krikken引用该数据是因为银行业在为应用安装补丁方面可能还是做的最好的。

　　“除了这个调查以外没有太多的研究结果，但是从众多传闻的证据、以及我同客户和同事的讨论来看，事实上企业的安全团队和开发团队之间没有建立良好的协作关系”，Krikken说到。“搞安全的家伙们写完报告，然后对开发人员说，’这里，看看这个’。这么做似乎不太可能有益于把事情做好”。

　　Krikken表示对于安全团队来说令人沮丧的现实是开发人员们一直以来从未有动力去解决应用开发安全这个问题，除非是发生安全事故后、或是满足合规要求才会被迫这么做。

　　“如果你观察人们的考察方式：他们会根据自身是如何被考察的来做任何他们被要求做的事情，不多也不少”，Krikken说到。“如果我是按照软件完工的时间来考察，并且没有人真正地从安全角度来衡量我的工作；那么我会在要求的时间点交付软件，但是它有漏洞；事实就是这样”。

　　最近，企业移动应用开发的迅猛增长只是进一步强化了人们的这种心态，Krikken补充到。因为大多数公司的成功不是由移动应用可能有多么安全来衡量的，而是根据它可以多快开发出新版本的应用来在线上的应用商店里销售。

　　应用安全的挑战已经发展成通过开发来解决也是如此的艰难。相反他鼓励企业考虑一个备选策略，该策略较少地依赖开发人员并且更多地将防御技术——像Web应用防火墙（简称WAF）、数据库审计和保护（简称DAP）产品以及XML网关——集成到企业的应用架构中。他表示像WAF这样外件化的组件应该配合代码框架及平台特色使用，以便填补安全功能的空白。

　　Krikken表示简单地从纯经济的立场来看，对于许多公司来说不断地实施补丁也是一种成本过高的解决方案，特别是对于关键业务的系统上。现在是时候问问用像WAF这样的设备是否比永无止尽的开发、测试和实施软件补丁更快、更便宜、而且同样有效。