女强穿越玄幻完结小说,我吃西红柿

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

安全專家并非都靠譜實(shí)踐才是硬道理

近期一項(xiàng)調(diào)查顯示，軟件專家能夠?qū)?yīng)用安全的概念有基本了解，但是，他們卻無(wú)法修復(fù)由此所引發(fā)的安全問(wèn)題。

10年積累的成都網(wǎng)站制作、成都做網(wǎng)站經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有鄠邑免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

軟件專家自身以及他們所提供的業(yè)務(wù)指導(dǎo)方面都缺乏軟件安全編碼的實(shí)踐經(jīng)驗(yàn)。

像Target、Home Depot以及JP Morgan Chase這樣的公司都將安全漏洞視為頭條新聞，在這種商業(yè)環(huán)境中，安全編碼實(shí)踐便成為一個(gè)大問(wèn)題。如果軟件專家們了解如何編寫抗攻擊性代碼，并且高層管理人員能夠?qū)踩幋a排在優(yōu)先的地位，那么，就可能阻止這些安全漏洞和數(shù)據(jù)缺失的發(fā)生。

安全代碼實(shí)踐，即用一種無(wú)漏洞、防止黑客盜取數(shù)據(jù)的方式來(lái)編寫應(yīng)用程序。這并非全新的理念，早在10年前，就有應(yīng)用安全專家提出了安全信息代碼的話題。John Dickson是圣安東尼奧Denim Group應(yīng)用安全咨詢公司的一位主管，他說(shuō)：“通過(guò)改變軟件的構(gòu)建才能真正地解決其安全問(wèn)題?！?/p>

但是，專業(yè)人士卻對(duì)其置若罔聞。2014年Denim Group公司的一項(xiàng)調(diào)查報(bào)告顯示，軟件專家能夠?qū)?yīng)用安全的概念有基本了解，如SQL注入，但是，他們卻無(wú)法修復(fù)由此所引發(fā)的安全問(wèn)題。2014年Denim Group公司的“應(yīng)用安全研究報(bào)告”對(duì)600名軟件開(kāi)發(fā)人員、架構(gòu)師和質(zhì)量保證專家進(jìn)行了調(diào)查。該報(bào)告從應(yīng)用程序安全概念(如威脅建模和輸入驗(yàn)證)以及對(duì)防御性編碼的理解兩方面對(duì)各位專家進(jìn)行測(cè)試調(diào)查。

軟件專家未能通過(guò)安全測(cè)試

Dickson是該報(bào)告的主要撰寫人，在近期的一項(xiàng)會(huì)談中，他與我分享了Denim Group公司的一些新發(fā)現(xiàn)：

Dickson說(shuō)，大多數(shù)軟件開(kāi)發(fā)人員對(duì)應(yīng)用安全概念都會(huì)有一定的了解，但是，他們卻不必了解如何將這些概念融入到實(shí)踐中。Dickson 說(shuō)：“當(dāng)被問(wèn)及到如何編寫更為安全的代碼時(shí)，這些專家都回答不上來(lái)。”他說(shuō)，這些專家們回答應(yīng)用安全性問(wèn)題時(shí)，平均只有56%的問(wèn)題回答正確，“70%專家不及格?！蓖瑯樱芏嘬浖I(yè)人士也沒(méi)有受過(guò)足夠多的應(yīng)用安全培訓(xùn)。其中一個(gè)調(diào)研問(wèn)題是，“你曾經(jīng)接受過(guò)多長(zhǎng)時(shí)間應(yīng)用安全教育?”半數(shù)被調(diào)查者的答案是，一天以上。另外一半的被調(diào)查者的答案是，少于一天，或者是沒(méi)有被培訓(xùn)過(guò)。

我愿意這樣想，一天的應(yīng)用安全培訓(xùn)至少比沒(méi)有培訓(xùn)過(guò)的要好得多。但是，調(diào)查結(jié)果的實(shí)例表明，事實(shí)未必如此。在調(diào)查中，我們對(duì)那些自稱接受過(guò)應(yīng)用程序安全培訓(xùn)的專業(yè)人士這樣提問(wèn)：“你的公司實(shí)施過(guò)SDLC或者其他流程改進(jìn)措施，從而使所培訓(xùn)的概念在實(shí)際運(yùn)行中變得正規(guī)化嗎?”33%的人的回答是“yes”，而另外三分之二的人的回答是“不了解”或者是“no”。換句話說(shuō)，盡管有的企業(yè)對(duì)軟件工作人員進(jìn)行了應(yīng)用安全培訓(xùn)，但是，有的企業(yè)還是“采用以前的方式方法進(jìn)行現(xiàn)有工作?！?/p>

失敗的高層管理者

假設(shè)，以上調(diào)查結(jié)果精確地反映了目前企業(yè)的應(yīng)用安全培訓(xùn)現(xiàn)狀，那么這種狀況有點(diǎn)不妙。為了使軟件專家跟上應(yīng)用安全的發(fā)展速度，企業(yè)花費(fèi)了大量的時(shí)間和金錢。然而，一旦學(xué)員回答日復(fù)一日的工作崗位上，企業(yè)卻從來(lái)沒(méi)有在加強(qiáng)培訓(xùn)所學(xué)概念上下任何功夫。然而，那些口頭上批準(zhǔn)應(yīng)用安全培訓(xùn)開(kāi)支的企業(yè)高管們，在實(shí)際防止安全事故發(fā)生的工作中，卻沒(méi)能保持對(duì)安全代碼實(shí)踐的支持。對(duì)于軟件專家培訓(xùn)的相關(guān)細(xì)節(jié)我們沒(méi)法說(shuō)的太細(xì)致，但是，可以清楚地知道的是：他們并非要將應(yīng)用安全性列為首要位置。

只要這種情況一直持續(xù)下去，軟件專家們就不可能重視應(yīng)用安全培訓(xùn)。當(dāng)然，也會(huì)有較少數(shù)的軟件人士愿意將時(shí)間投入到成為一名資深的應(yīng)用程序安全專家上面。但是，大多數(shù)人還是認(rèn)為安全編程實(shí)踐僅是一系列不錯(cuò)的技能，而對(duì)于工作績(jī)效來(lái)說(shuō)并沒(méi)有什么直接關(guān)系。

當(dāng)專家們真正認(rèn)識(shí)到，通過(guò)培訓(xùn)才能獲得某些技能時(shí)，才會(huì)更多的關(guān)注到培訓(xùn)的重要性，開(kāi)始做記錄，開(kāi)始提出問(wèn)題。當(dāng)需要使用到這些技能時(shí)，我們開(kāi)始需求保證，并研究在何處能學(xué)會(huì)這些技能。我們這樣做，是因?yàn)?，我們工作上的成敗都與這些技能有關(guān)系。

當(dāng)問(wèn)到，是否了解應(yīng)用安全性以及是否掌握了安全代碼實(shí)踐時(shí)，我們的回答是，還遠(yuǎn)未達(dá)到這種水平。這種回答意味著，不僅僅是軟件人員在該考核中沒(méi)有及格，高官們同樣也是不及格的狀態(tài)。

我們?nèi)绾尾拍芘まD(zhuǎn)這種局面呢?來(lái)聽(tīng)聽(tīng)大家的看法。

網(wǎng)頁(yè)名稱：安全專家并非都靠譜實(shí)踐才是硬道理
當(dāng)前網(wǎng)址：http://www.fisionsoft.com.cn/article/dppseop.html

新聞中心

其他資訊