日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

當(dāng)你與OWASP成員討論的時(shí)候，他們都認(rèn)同這樣一個(gè)觀點(diǎn)：應(yīng)用安全還有十年就發(fā)展成型了，特別是在政府層面上。

該組織定期舉辦這類會(huì)議為的是能夠轉(zhuǎn)變趨勢(shì)，包括11月10日至13日期間在該國(guó)首都舉辦的2009 OWASP應(yīng)用安全大會(huì)（AppSec DC）。我們有幸與OWASP成員Matt Fisher取得了聯(lián)系，同時(shí)他也是Piscis安全公司的CEO兼AppSec參與公司之一，我們將與他來一起探討今天的應(yīng)用安全的問題所在，以及扭轉(zhuǎn)這一局面的六個(gè)方法。我們首先先為大家呈現(xiàn)一些問答，隨后會(huì)告訴大家這六個(gè)做法。

問：關(guān)于使用Web2.0企業(yè)***的問題在哪以及***的安全威脅是什么？

答：是的，“Web2.0”的形式其實(shí)與“云計(jì)算”差不多。其中***的挑戰(zhàn)就是我們?nèi)绾螌?duì)二者進(jìn)行定義?！癢eb2.0”會(huì)涉及到編程技術(shù)，會(huì)導(dǎo)致瀏覽器插件的增多，以及與富網(wǎng)絡(luò)應(yīng)用相關(guān)的客戶端技術(shù)本身已經(jīng)越來越多的成為漏洞的共享者。同樣，也會(huì)涉及到應(yīng)用的合作和了解，例如內(nèi)部WiKi和博客。其中的危機(jī)（特別是在WiKi上）是你幾乎不能對(duì)用戶生成的內(nèi)容有任何控制權(quán)。如果這樣的WIKI對(duì)于整個(gè)公司的人都開放的話，那么你就會(huì)看到公司里面的任何一個(gè)人的做法，看到他們?cè)诎l(fā)送機(jī)密和不合適的內(nèi)容?，F(xiàn)在，如果提到“Web2.0”，首先意味著社交網(wǎng)絡(luò)應(yīng)用，然后威脅就隨著而來了。你會(huì)發(fā)現(xiàn)，盡管你知道這些應(yīng)用在過去很長(zhǎng)時(shí)間都以“不安全”著稱，并且因蠕蟲等不好的問題而臭名昭著，但是這些應(yīng)用在破壞你的在線名譽(yù)上都有很大的潛力。

問：一些OWASP成員認(rèn)為政府的應(yīng)用安全還有十年就會(huì)發(fā)展成熟了。請(qǐng)您談?wù)撘幌?，為什么某種意義上來說聯(lián)邦政府需要更加了解Web2.0，與私營(yíng)部門相比，其危險(xiǎn)的獨(dú)特性在哪里？

答：我認(rèn)為在理解上最重要的是，來自政府的信息是必須被信任的，因?yàn)橐粋€(gè)新興的Web應(yīng)用日漸流行并不意味著對(duì)于所有的政府用途是合適的媒介。從網(wǎng)絡(luò)安全的角度來看，這些應(yīng)用的托管本質(zhì)就意味著挑戰(zhàn)。人們通過這些應(yīng)用來交換部門或機(jī)構(gòu)的信息，不能用常見的安全程序管理這些應(yīng)用。除了密碼以外你沒有其他的方式來控制系統(tǒng)，簡(jiǎn)言之就是你甚至不知道密碼是否被保存完好。你沒有托管數(shù)據(jù)中心，完全不能控制操作系統(tǒng)的安全、應(yīng)用安全、網(wǎng)絡(luò)防御，不能做出及時(shí)的回應(yīng)，你不能進(jìn)行任何辯論。這就是零控制。

當(dāng)然，理論上講這種風(fēng)險(xiǎn)是很低的，因?yàn)闊o論如何這些應(yīng)用都是通過大眾傳播的。我最近讀到了一個(gè)關(guān)于這個(gè)主題的分析，當(dāng)討論威脅的時(shí)候，他提到一些東西會(huì)起到影響的作用，但是完整性起到的作用并不大，因?yàn)檫@是一個(gè)公共的系統(tǒng)，但是我不太同意他的觀點(diǎn)。如果你像美國(guó)政府一樣正在使用這樣的網(wǎng)站來進(jìn)行信息的交流的話，那么這些信息的完整性是極為重要的。對(duì)手在其中一個(gè)應(yīng)用中找到漏洞是完全有可能的。你只能在恰當(dāng)?shù)臅r(shí)候在錯(cuò)誤信息方面使用它，或者在進(jìn)行一場(chǎng)心理戰(zhàn)役的時(shí)候使用它。想象一下，所有的人從不同的機(jī)構(gòu)獲取信息到他們的手機(jī)上?，F(xiàn)在想象一下，在一場(chǎng)國(guó)家災(zāi)難中這些信息突然變成虛假信息。

問：讓我們回過頭來看私營(yíng)部門。政府的安全漏洞對(duì)小型的企業(yè)會(huì)形成很不好的影響，反過來也一樣。能否給我們列舉一兩個(gè)Web2.0在這方面的例子。

答：對(duì)于政府來說他們與很多行業(yè)都有著合作的關(guān)系，能夠?qū)λ麄冞M(jìn)行支持，往往與這些部門和機(jī)構(gòu)有著錯(cuò)綜復(fù)雜的關(guān)系，有很多過去的違規(guī)例子都說明承包商讓客戶面臨危險(xiǎn)。當(dāng)然這些可以像其他的外部環(huán)境一樣也存在于Web2.0世界。

問：現(xiàn)在我們已經(jīng)明確了應(yīng)用安全所面臨的問題，能否給我們一些公共和私營(yíng)部門可以用于應(yīng)用安全改善現(xiàn)狀的做法。

答：可以遵守以下6和步驟：

1、建立一個(gè)團(tuán)隊(duì)。聯(lián)邦政府等大型企業(yè)更易于受筒倉(cāng)效應(yīng)的影響。而一個(gè)管理良好的簡(jiǎn)單的內(nèi)部站點(diǎn)可以出奇地利用整個(gè)企業(yè)的專業(yè)知識(shí)。

2、讓更多的人學(xué)習(xí)專業(yè)知識(shí)?，F(xiàn)在大多數(shù)應(yīng)用安全的知識(shí)都存在于安全小組中。這在開始是好的，但是最終會(huì)員工也需要建立程序或者修復(fù)應(yīng)用程序；所以，你需要也讓專家來教員工怎么做。

3、在利用工具之前先思考問題。工具確實(shí)可以自動(dòng)化地完成一些任務(wù)，但是要知道它們只是協(xié)助你來完成評(píng)估的工作。即使這樣，評(píng)估也只是計(jì)劃的一部分。

4、提供指導(dǎo)。軟件開發(fā)者想開發(fā)出安全并且兼容的軟件；他們根本不知道怎么做。要讓標(biāo)準(zhǔn)、需求和參考模型適用于你的程序。

5、立即開始測(cè)試。在發(fā)布之前，那些周期比較晚的測(cè)試有很大的壓力，要盡量在周期比較早的時(shí)候開始測(cè)試，并讓你的評(píng)估團(tuán)隊(duì)參與軟件的開發(fā)。

6、盡量多進(jìn)行持續(xù)的檢測(cè)。應(yīng)用程序的一個(gè)細(xì)小的變化可能造成巨大的漏洞。認(rèn)真審查應(yīng)用程序的細(xì)微變化，特別是面向互聯(lián)網(wǎng)或其他高風(fēng)險(xiǎn)的系統(tǒng)。

網(wǎng)站欄目：應(yīng)用安全通向未來的六個(gè)做法淺析
當(dāng)前地址：http://www.dlmjj.cn/article/coppees.html