2013 年，雅虎！遭受了一次數據泄露，暴露了30 億條（而不是10 億條）數據記錄。這種和其他代價(jià)高昂的違規行為的核心是漏洞。與雅虎的情況一樣，即使是最大的玩家也可能會(huì )忽略其技術(shù)堆棧中的關(guān)鍵弱點(diǎn)。因此，軟件開(kāi)發(fā)人員需要特別小心，尤其是因為開(kāi)發(fā)團隊負責的解決方案可能會(huì )破壞原本安全的系統——破壞聲譽(yù)并扼殺收入。但是，在采用軟件作為分層技術(shù)的概念時(shí)，您可以系統地減少或消除漏洞。繼續閱讀以了解如何操作。

作為分層技術(shù)和安全性的軟件如何相交

有些人可能傾向于將安全性歸于事后才考慮，例如，“這就是我們所做的。我們如何確保它的安全？” 但是，使用軟件分層視圖背后的原則，您可以?xún)?yōu)先考慮安全性，并在整個(gè)開(kāi)發(fā)生命周期中增強和維護它。

關(guān)鍵要素：質(zhì)量

將安全性識別為軟件質(zhì)量保證元素的一部分，因為分層技術(shù)將其置于開(kāi)發(fā)過(guò)程的前沿和中心。軟件分層視圖的好處之一是每個(gè)原則在開(kāi)發(fā)過(guò)程中的各個(gè)點(diǎn)不斷重申，尤其是質(zhì)量。將安全性作為質(zhì)量標準會(huì )迫使您的團隊在各個(gè)階段一次又一次地重新評估您的應用程序的安全性。

如何將安全性納入每個(gè)開(kāi)發(fā)階段

不管你是使用敏捷還是瀑布來(lái)驅動(dòng)你的開(kāi)發(fā)，生命周期的核心元素通常是相同的：

• 規劃和概念化
• 設計與建筑
• 執行
• 測試和錯誤緩解
• 發(fā)布和產(chǎn)品維護

以下是如何在每個(gè)階段合并安全原則和功能：

規劃和概念化

在規劃和概念化階段，您可以：

• 通過(guò)提出以下問(wèn)題來(lái)定義項目的安全目標，例如“最有可能針對此應用程序施加哪些威脅，我們如何阻止它們？”
• 確定相關(guān)的合規標準。其中可能包括《健康保險流通與責任法案》(HIPAA)、《通用數據保護條例》(GDPR) 等。
• 根據技術(shù)和監管標準，組織您的應用程序滿(mǎn)足其安全目標所需的清單。
• 為參與項目的開(kāi)發(fā)人員和其他人提供培訓。最好不要假設他們擁有所需的知識，盡早解決差距可以防止出現問(wèn)題。

設計與建筑

在設計和架構階段，您可以：

• 使用威脅建模來(lái)識別攻擊面和技術(shù)。
• 評估設計文檔，尋找應用程序代碼和基礎設施中的潛在安全問(wèn)題。
• 密切關(guān)注可能由于自身弱點(diǎn)或與您的應用程序交互方式而引入漏洞的第三方應用程序。

執行

在實(shí)施階段，程序員正在對應用程序進(jìn)行實(shí)際編碼。要在這個(gè)關(guān)鍵階段加入安全性，您可以：

• 提供程序員應避免的常見(jiàn)錯誤列表，例如不正確地保護未加密的密碼。
• 使用靜態(tài)掃描工具檢查新編寫(xiě)的代碼并識別漏洞，然后再將其整合到整個(gè)應用程序中。
• 手動(dòng)檢查代碼以查找漏洞。這可能需要一些時(shí)間，但手動(dòng)審查可以發(fā)現自動(dòng)化系統尚未編程識別的問(wèn)題。

測試和錯誤緩解

您不僅可以測試應用程序以查看它在此階段的運行情況，還可以檢查它是否存在漏洞。為此，您可以：

• 使用模擬黑客攻擊的動(dòng)態(tài)應用程序掃描工具 (DAST)。您還可以使用交互式應用程序安全測試 (IAST) 工具來(lái)減少誤報的數量。將 DAST 與 IAST 結合使用，您不僅可以識別漏洞的存在，還可以識別漏洞的來(lái)源。
• 模糊測試您的應用程序，這涉及生成隨機輸入并查看應用程序的運行情況。
• 使用滲透測試，即您邀請第三方安全專(zhuān)家團隊來(lái)模擬對您的應用程序的攻擊。

發(fā)布和產(chǎn)品維護

產(chǎn)品上線(xiàn)后，您必須確?？蛻?hù)享受安全的體驗。雖然很難控制誰(shuí)升級到更新、更安全的應用版本，但您可以采取一些措施來(lái)增強安全性，例如：

• 監控應用程序的整個(gè)生態(tài)系統是否存在攻擊。
• 創(chuàng )建事件響應策略，概述如果應用程序或其基礎設施受到不同類(lèi)型的攻擊，您的安全團隊將采取什么措施。
• 執行持續的安全檢查。

通過(guò)采取這些步驟，您可以保護您的產(chǎn)品、其用戶(hù)和用戶(hù)的設備。您還可以保護組織的聲譽(yù)及其開(kāi)發(fā)團隊，同時(shí)最大限度地提高最終用戶(hù)體驗。要掌握最新的網(wǎng)絡(luò )安全發(fā)展、工具和策略，您可以聯(lián)系 IEEE 計算機協(xié)會(huì )。作為技術(shù)前沿的專(zhuān)業(yè)人士協(xié)會(huì )，IEEE 計算機協(xié)會(huì )是獲取最新和最偉大技術(shù)見(jiàn)解的動(dòng)態(tài)資源。