如何在交付周期中保Web應用程序安全性(4)
Web應用程序質量評價/測試
用于測試應用程序的具體安全工具范圍很廣,其中有可以評估完整應用程序的獨立解決方案和服務,更有完全集成的套件,這種套件可以提供測試和對從教育到實施等多個階段的支持。集成的方案可以為那些對可重復的Web應用程序的安全周期表現成熟的公司提供多個階段的支持。集成套件可以在進程中的多個時點上實施,并可為持續的改善提供尺度和反饋。
那么,在質量評價和測試階段,應采取哪些集成安全和改善安全的步驟呢?
1、專注于發現某些資源的最重要問題。
2、在一個包括現有的補救控制(如防火墻和IPS)的應用架構中驗證這些測試發現。
3、根據安全性和業務需要,區分所發現的漏洞的優先次序。
4、對于代碼行或其所依賴的API、服務、庫等提出修復建議。
其好處也是顯而易見的:1、應用程序開發人員之間可以更好地交流。2、似是而非的東西更少。3、修復周期更快。
Web應用程序部署/投產
Web應用程序的安全性并不會終止于應用程序的部署階段。一旦Web應用程序投產,還應當實施其它測試和監視,用以確保數據和服務受到保護。實際的Web應用程序的自動安全監視能夠確保應用程序正在如所期望的那樣運行,并且不會泄露信息從而造成風險。監視可由內部人員完成,也可外包給能夠全天候監視應用程序的外部供應商。
在部署和投產階段集成和改善安全性的步驟:
1、監視誤用情況,其目的是為了確定測試中所謂的“不會被利用的漏洞”在投產后真得不會被利用。
2、監視數據泄露,其目的是為了查找被錯誤地使用、發送或存儲的所有地方。
3、將部署前的風險評估與投產后的暴露范圍進行比較,并向測試團隊提供反饋。
4、實施Web應用防火墻、IPS或其它的補救措施,其目的是為了減輕代碼修復之前的暴露程度,或是為了符合新的安全規范。
其好處有如下幾個方面:
1、改善能夠成功實施的漏洞利用的知識庫,從而改善在靜態和動態測試期間的掃描效益。
2、發現并阻止應用程序的誤用情況。
3、在動態測試和投產中的應用程序控制(如Web應用防火墻或IPS)之間實現更好的集成。
4、滿足再次編寫代碼之前的合規需要。
5、使用反饋機制實現持續的改善。
Web應用程序設計總結
Web應用程序的安全保障未必意味著延長開發周期。只要對所有開發人員進行良好的教育,并采取清晰且可重復的構建過程,企業就可以用一種高效而合作性的方式將安全和風險納入到開發過程中。將安全構建到Web應用程序的交付周期中確實需要一種合作性的方法,需要將人員、過程和技術集成到一起。
Web應用程序安全工具和套件雖然有助于過程的改進,但它們并非萬能藥。為獲得最大利益,應當考慮選擇能夠理解完整開發周期的Web應用程序安全工具廠商,還要有能在開發過程的多個階段提供支持的工具。
【編輯推薦】
- 惡意釣魚網站數量超百萬
- 抵御Web威脅的十大方法
- 如何確保 Web應用安全
- 防范網站掛馬:審計與監測并重 續
- 網站主機安全之系統與服務器安全管理
- 如何在交付周期中保Web應用程序安全性(1)
- 如何在交付周期中保Web應用程序安全性(2)
- 如何在交付周期中保Web應用程序安全性(3)
