安全問題系列一｜每位開發(fā)者必問的五個安全問題

（圖片來源：圖蟲創(chuàng)意）

【編者按】關(guān)于安全防護(hù)的問題，我們將有兩期系列內(nèi)容，這是安全系列的第一期內(nèi)容，如閱讀第二期內(nèi)容，請關(guān)注后期推送。

開發(fā)團(tuán)隊(duì)在互聯(lián)網(wǎng)應(yīng)用的安全方面扮演著至關(guān)重要的角色。雖然不良因素是開發(fā)團(tuán)隊(duì)遇到的最重要的威脅，但他們也面臨著重大內(nèi)部挑戰(zhàn)，即在平衡業(yè)務(wù)、工程和安全利益的同時，實(shí)施安全修復(fù)。

這里提出了五大安全問題，賣家可以提高對應(yīng)用安全需求的認(rèn)識，降低網(wǎng)絡(luò)應(yīng)用安全事件給企業(yè)帶來的業(yè)務(wù)風(fēng)險。

一、如何識別和修復(fù)應(yīng)用程序代碼中的漏洞？

動態(tài)和靜態(tài)應(yīng)用安全測試工具有助于發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用中的漏洞。DAST和SAST工具分別以不同的工作方式幫助尋找運(yùn)行時的弱點(diǎn)：DAST試圖對網(wǎng)絡(luò)應(yīng)用程序進(jìn)行攻擊（如跨站腳本），而SAST工具則尋找源代碼中的不安全操作（如未初始化的變量）。在持續(xù)集成/持續(xù)部署（CI/CD）管道中使用這兩種工具，有助于在軟件開發(fā)過程中發(fā)現(xiàn)缺陷，然后再進(jìn)入生產(chǎn)模式。

一些源碼控制存儲庫可以與CI實(shí)踐集成，在每次更改時運(yùn)行安全掃描。存儲庫可能要求CI實(shí)踐執(zhí)行SAST，并作為每個變更請求的一部分。如果掃描報告發(fā)現(xiàn)安全問題，存儲庫可能會阻止變更請求的批準(zhǔn)。手動或自動執(zhí)行這些掃描的團(tuán)隊(duì)可以大大減少他們的安全風(fēng)險。同樣地，CD可以在部署新代碼時運(yùn)行DAST掃描。

掃描可能產(chǎn)生許多結(jié)果。即使在漏洞管理系統(tǒng)的幫助下，也需要時間來評估和確定它們的優(yōu)先次序。網(wǎng)絡(luò)應(yīng)用程序防火墻（WAF）使您能夠在團(tuán)隊(duì)確定漏洞優(yōu)先級并對修復(fù)應(yīng)用功能時立即采取行動。

此外，對受WAF保護(hù)的網(wǎng)絡(luò)應(yīng)用程序運(yùn)行DAST掃描，可以進(jìn)一步改善該程序的整體安全態(tài)勢。WAF未能阻止的任何攻擊都將被安全團(tuán)隊(duì)識別出來，以便進(jìn)一步進(jìn)行微調(diào)。如果WAF包含的規(guī)則不能緩解DAST掃描發(fā)現(xiàn)的威脅，還可以編寫和部署一個自定義的WAF規(guī)則來處理特定的威脅。開發(fā)團(tuán)隊(duì)不再需要等待安全補(bǔ)丁或即將發(fā)生的攻擊來減輕這些威脅。

（圖片來源：Edgio）

>>現(xiàn)在預(yù)約1:1專家診斷

二、如何識別和修復(fù)技術(shù)堆棧中的漏洞？

現(xiàn)代網(wǎng)絡(luò)應(yīng)用技術(shù)堆棧由許多組件組成，如前端框架、網(wǎng)絡(luò)和數(shù)據(jù)庫服務(wù)器以及網(wǎng)絡(luò)開發(fā)框架。其中一些組件可通過插件、擴(kuò)展和附加組件進(jìn)行擴(kuò)展。每個應(yīng)用安全程序都應(yīng)該包括第三方組件的清單以及理解和應(yīng)用關(guān)鍵安全補(bǔ)丁。然而，關(guān)鍵的補(bǔ)丁有時并不能在不改變應(yīng)用程序代碼的情況下應(yīng)用，需要進(jìn)行開發(fā)沖刺。

軟件補(bǔ)丁為企業(yè)提供了更多的時間來修復(fù)已知的安全漏洞。網(wǎng)絡(luò)應(yīng)用團(tuán)隊(duì)?wèi)?yīng)定期測試和應(yīng)用軟件補(bǔ)?。ㄈ缑吭禄蛎慨?dāng)有軟件發(fā)布時）。這樣做可以減少漏洞存在的時間，并減少攻擊者利用它的時間。缺陷存在的時間越長，惡意攻擊者利用它們的可能性就越大。

WAF使開發(fā)團(tuán)隊(duì)能夠立即進(jìn)行修復(fù)以防止攻擊，同時為修補(bǔ)和更新應(yīng)用程序代碼提供喘息的機(jī)會。

雖然在分級環(huán)境或QA環(huán)境中運(yùn)行WAF可以深入了解特定的WAF配置是否能防止攻擊，但不能替代針對實(shí)際生產(chǎn)網(wǎng)絡(luò)流量運(yùn)行WAF。了解我們的雙WAF模式功能，如何使安全團(tuán)隊(duì)在生產(chǎn)流量上測試新的WAF配置文件，阻止新出現(xiàn)的威脅，并將響應(yīng)時間縮減到86%。

三、應(yīng)用程序更新過程是怎樣執(zhí)行的？

基于舊技術(shù)堆棧上的應(yīng)用程序應(yīng)該被更新或退役。如果技術(shù)堆棧沒有得到維護(hù)，許多公司就不能再修復(fù)舊的應(yīng)用程序代碼。平衡安全與業(yè)務(wù)的需求，可能需要一個臨時解決方案。運(yùn)行一個全面的DAST掃描和一個精心調(diào)整的WAF，并在需要時使用適當(dāng)?shù)淖远x規(guī)則，使您能夠安全地運(yùn)行Web應(yīng)用程序，直到它們被升級或退役。

四、安全事件對服務(wù)器容量的影響是什么？

平衡服務(wù)器容量和云計(jì)算成本是客戶體驗(yàn)和業(yè)務(wù)需求之間的一個權(quán)衡。然而，分配服務(wù)器容量來容納非法用戶并不是最好的方法。

盡管仍然存在大規(guī)模DDoS攻擊的威脅，但在1 Gbps范圍內(nèi)的攻擊更為常見。這些高要求的安全事件，以及使用您的網(wǎng)絡(luò)應(yīng)用程序的自動掃描或爬蟲，可能不會成為新聞，但會影響您的客戶在您的網(wǎng)站上的體驗(yàn)。

利用基于云的WAF可以將這些不良流量在影響您的網(wǎng)絡(luò)應(yīng)用之前過濾掉它們，為實(shí)際用戶保留服務(wù)器容量。

（圖片來源：Edgio）

>>立刻預(yù)約免費(fèi)網(wǎng)速&安全診斷

五、有哪些需要遵守的合規(guī)要求？

根據(jù)您的行業(yè)和應(yīng)用類型，您的應(yīng)用可能需要符合行業(yè)法規(guī)。如果您的網(wǎng)站處理信用卡支付，那么它可能必須符合PCI標(biāo)準(zhǔn)。因?yàn)槟膽?yīng)用程序使用和保留的數(shù)據(jù)具有敏感性，您的公司可能需要符合SOC 2類型。許多這些行業(yè)法規(guī)都需要使用WAF。即使沒有適用的行業(yè)法規(guī)，您可能要考慮遵循行業(yè)的最佳實(shí)踐和準(zhǔn)則。您可以使用互聯(lián)網(wǎng)安全控制中心或AWS的Well-Architected Framework。這兩者都建議使用WAF，因?yàn)樗梢詸z查和過濾惡意的網(wǎng)絡(luò)流量。

保護(hù)您的網(wǎng)絡(luò)應(yīng)用是一項(xiàng)重要的任務(wù)，需要平衡安全、工程和商業(yè)利益。有時，這些利益會發(fā)生沖突，使開發(fā)人員很難采取行動。

開發(fā)團(tuán)隊(duì)對威脅進(jìn)行優(yōu)先排序，并將修復(fù)措施執(zhí)行到您的CI/CD管道時，WAF可以幫助縮小這一差距。我們強(qiáng)大的、具有成本效益的WAF洞察力降低了采用WAF的門檻。

請聯(lián)系我們，以獲得關(guān)于加強(qiáng)網(wǎng)絡(luò)安全和我們的WAF洞察力的所有問題的答案。

（圖片來源：Edgio）

Edgio（NASDAQ：EGIO）是邊緣軟件解決方案提供商，通過對內(nèi)容交付、應(yīng)用和流媒體平臺的無縫集成，提供無與倫比的安全數(shù)字體驗(yàn)。全球規(guī)模的技術(shù)和專家服務(wù)為全球品牌賦能，覆蓋教育、娛樂、現(xiàn)場實(shí)況及各種應(yīng)用，為每一位用戶提供迅捷、動態(tài)和流暢的數(shù)字體驗(yàn)。Edgio致力于提供無與倫比的客戶服務(wù)，并在每一步都擴(kuò)展價值，驅(qū)動了全球約20%的互聯(lián)網(wǎng)流量，為受歡迎的節(jié)目、電影、體育、游戲、音樂以及即時加載網(wǎng)站提供強(qiáng)大的支持服務(wù)。

>>填寫申請，預(yù)約絲滑網(wǎng)速體驗(yàn)

（編輯：江同）

（來源：limelight）

以上內(nèi)容僅代表作者本人觀點(diǎn)，不代表雨果跨境立場！如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與雨果跨境取得聯(lián)系。