日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
安全專家并非都靠譜 實(shí)踐才是硬道理

近期一項(xiàng)調(diào)查顯示,軟件專家能夠?qū)?yīng)用安全的概念有基本了解,但是,他們卻無法修復(fù)由此所引發(fā)的安全問題。

10年積累的成都網(wǎng)站制作、成都做網(wǎng)站經(jīng)驗(yàn),可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你,你也不認(rèn)識我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程,更有鄠邑免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

軟件專家自身以及他們所提供的業(yè)務(wù)指導(dǎo)方面都缺乏軟件安全編碼的實(shí)踐經(jīng)驗(yàn)。

像Target、Home Depot以及JP Morgan Chase這樣的公司都將安全漏洞視為頭條新聞,在這種商業(yè)環(huán)境中,安全編碼實(shí)踐便成為一個(gè)大問題。如果軟件專家們了解如何編寫抗攻擊性代碼,并且高層管理人員能夠?qū)踩幋a排在優(yōu)先的地位,那么,就可能阻止這些安全漏洞和數(shù)據(jù)缺失的發(fā)生。

安全代碼實(shí)踐,即用一種無漏洞、防止黑客盜取數(shù)據(jù)的方式來編寫應(yīng)用程序。這并非全新的理念,早在10年前,就有應(yīng)用安全專家提出了安全信息代碼的話題。John Dickson是圣安東尼奧Denim Group應(yīng)用安全咨詢公司的一位主管,他說:“通過改變軟件的構(gòu)建才能真正地解決其安全問題?!?/p>

但是,專業(yè)人士卻對其置若罔聞。2014年Denim Group公司的一項(xiàng)調(diào)查報(bào)告顯示,軟件專家能夠?qū)?yīng)用安全的概念有基本了解,如SQL注入,但是,他們卻無法修復(fù)由此所引發(fā)的安全問題。2014年Denim Group公司的“應(yīng)用安全研究報(bào)告”對600名軟件開發(fā)人員、架構(gòu)師和質(zhì)量保證專家進(jìn)行了調(diào)查。該報(bào)告從應(yīng)用程序安全概念(如威脅建模和輸入驗(yàn)證)以及對防御性編碼的理解兩方面對各位專家進(jìn)行測試調(diào)查。

軟件專家未能通過安全測試

Dickson是該報(bào)告的主要撰寫人,在近期的一項(xiàng)會談中,他與我分享了Denim Group公司的一些新發(fā)現(xiàn):

Dickson說,大多數(shù)軟件開發(fā)人員對應(yīng)用安全概念都會有一定的了解,但是,他們卻不必了解如何將這些概念融入到實(shí)踐中。Dickson 說:“當(dāng)被問及到如何編寫更為安全的代碼時(shí),這些專家都回答不上來?!彼f,這些專家們回答應(yīng)用安全性問題時(shí),平均只有56%的問題回答正確,“70%專家不及格?!蓖瑯?,很多軟件專業(yè)人士也沒有受過足夠多的應(yīng)用安全培訓(xùn)。其中一個(gè)調(diào)研問題是,“你曾經(jīng)接受過多長時(shí)間應(yīng)用安全教育?”半數(shù)被調(diào)查者的答案是,一天以上。另外一半的被調(diào)查者的答案是,少于一天,或者是沒有被培訓(xùn)過。

我愿意這樣想,一天的應(yīng)用安全培訓(xùn)至少比沒有培訓(xùn)過的要好得多。但是,調(diào)查結(jié)果的實(shí)例表明,事實(shí)未必如此。在調(diào)查中,我們對那些自稱接受過應(yīng)用程序安全培訓(xùn)的專業(yè)人士這樣提問:“你的公司實(shí)施過SDLC或者其他流程改進(jìn)措施,從而使所培訓(xùn)的概念在實(shí)際運(yùn)行中變得正規(guī)化嗎?”33%的人的回答是“yes”,而另外三分之二的人的回答是“不了解”或者是“no”。換句話說,盡管有的企業(yè)對軟件工作人員進(jìn)行了應(yīng)用安全培訓(xùn),但是,有的企業(yè)還是“采用以前的方式方法進(jìn)行現(xiàn)有工作?!?/p>

失敗的高層管理者

假設(shè),以上調(diào)查結(jié)果精確地反映了目前企業(yè)的應(yīng)用安全培訓(xùn)現(xiàn)狀,那么這種狀況有點(diǎn)不妙。為了使軟件專家跟上應(yīng)用安全的發(fā)展速度,企業(yè)花費(fèi)了大量的時(shí)間和金錢。然而,一旦學(xué)員回答日復(fù)一日的工作崗位上,企業(yè)卻從來沒有在加強(qiáng)培訓(xùn)所學(xué)概念上下任何功夫。然而,那些口頭上批準(zhǔn)應(yīng)用安全培訓(xùn)開支的企業(yè)高管們,在實(shí)際防止安全事故發(fā)生的工作中,卻沒能保持對安全代碼實(shí)踐的支持。對于軟件專家培訓(xùn)的相關(guān)細(xì)節(jié)我們沒法說的太細(xì)致,但是,可以清楚地知道的是:他們并非要將應(yīng)用安全性列為首要位置。

只要這種情況一直持續(xù)下去,軟件專家們就不可能重視應(yīng)用安全培訓(xùn)。當(dāng)然,也會有較少數(shù)的軟件人士愿意將時(shí)間投入到成為一名資深的應(yīng)用程序安全專家上面。但是,大多數(shù)人還是認(rèn)為安全編程實(shí)踐僅是一系列不錯(cuò)的技能,而對于工作績效來說并沒有什么直接關(guān)系。

當(dāng)專家們真正認(rèn)識到,通過培訓(xùn)才能獲得某些技能時(shí),才會更多的關(guān)注到培訓(xùn)的重要性,開始做記錄,開始提出問題。當(dāng)需要使用到這些技能時(shí),我們開始需求保證,并研究在何處能學(xué)會這些技能。我們這樣做,是因?yàn)椋覀児ぷ魃系某蓴《寂c這些技能有關(guān)系。

當(dāng)問到,是否了解應(yīng)用安全性以及是否掌握了安全代碼實(shí)踐時(shí),我們的回答是,還遠(yuǎn)未達(dá)到這種水平。這種回答意味著,不僅僅是軟件人員在該考核中沒有及格,高官們同樣也是不及格的狀態(tài)。

我們?nèi)绾尾拍芘まD(zhuǎn)這種局面呢?來聽聽大家的看法。


文章題目:安全專家并非都靠譜 實(shí)踐才是硬道理
當(dāng)前地址:http://www.dlmjj.cn/article/dppseop.html