“互联网+”时代的开发安全管理
作者: 日期:2015年03月24日 阅:3,635

十八届三中全会总理的政府工作报告中提出了“互联网+”的战略,未来各行各业都将利用互联网工具进行业务的改造,将互联网的创新成果深度融合于经济社会各领域之中,形成更广泛的以互联网为基础设施和实现工具的经济发展新形态。

我们应当注意到,互联网在带给企业效率的同时,也带来了非常大的安全风险。国内最大的漏洞报告平台–乌云在四年多的时间里,汇聚了1万多名白帽黑客,2千多家注册企业和10万多个漏洞。对于企业而言,如何及时发现互联网应用漏洞、快速修补,如何提升安全的工作效率,降低业务风险变成了一个迫在眉睫的问题。

安全牛近期调研了一些大型的互联网公司和安全咨询公司的案例,给大家一些最佳实践参考。

大部分应用系统漏洞主要是设计、编码和配置问题导致的,软件在开发之初就没有系统考虑安全问题,而且互联网应用的变化非常频繁,导致上线后漏洞频发。要想彻底做好漏洞管理,就需要在软件开发各个阶段都考虑安全工作。而在软件生命周期各个阶段,解决漏洞的成本是完全不一样的,越早介入效果越好,成本越低。

业界流行的做法,是通过安全开发生命周期 (SDL)来建立软件开发的安全保证过程。微软自 2004 起,SDL就作为全公司的计划和强制政策,在把安全和隐私植入软件和企业文化方面发挥了重要作用。

但是,对于绝大部分企业来说,SDL面临很多实施难点:

软件开发项目一般周期较长,在整个开发过程中贯彻安全非常困难;

软件开发人员众多、项目众多,难以有效落地推广;

安全人员专业性要求很高,需要熟悉各类语言以及攻防知识

那么如何在成本可控的条件下,有效落实SDL,做到基本的软件开发中安全漏洞的管理呢?

大型互联网公司的普遍做法,是将漏洞管理融入企业的开发流程,通过自动化的检测工具,专业的技术团队,丰富的漏洞处理知识库,来迅速发现和修补漏洞,只需要很少的安全漏洞技术团队,来支撑数千人甚至上万人的开发团队。

漏洞发现

单一的商用扫描器不再好用,太耗费人力,需要将开源或商业扫描器改造为分布式的自动化扫描平台,扫描漏洞结果经过技术确认后直接进入开发流程,分派到开发部门进行快速处理;

漏洞发现不仅仅限于内部了,进行漏洞众测,邀请第三方测试,建立社区漏洞信息通报,多渠道发现互联网应用的各类漏洞。

漏洞修复

漏洞类型众多,如何快速修复是个难点。安全技术团队需要建立企业的漏洞处理库,根据自己使用的框架和语言,直接给开发人员漏洞处理建议,并与漏洞编号直接对应,便于快速查询和索引;

大规模系统需要建立自动化配置工具,能快速部署漏洞补丁;

对于常见的攻击,如CC、XSS等,在开发框架中嵌入安全的组件,直接供开发人员调用;

对于经常发生的漏洞,需要从设计上找到缺陷,设计阶段融入安全功能设计。

漏洞复查

对于所有的漏洞定期进行验证复查。

漏洞跟踪

对于开发人员要持续进行安全培训,并逐步建立安全编码基线,在所有开发项目中逐步落实。这也需要培训系统和知识库系统的支撑。

安全牛

建立自动化、流程化的漏洞管理措施,精英技术团队的支持,知识库和经验库的积累,是互联网+时代做好开发安全的最佳基础。您如果有这方面的需求,可联系安全牛,我们给您推荐牛人、牛工具、牛团队、牛公司!

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章