2018 年,不要事后才想到代码安全问题

周其
 周其
发布于 2017年12月23日
收藏 10

年复一年,企业都会在安全方面面临挑战,2017年也不例外。与其向业界宣传安全的重要性,还不如试着找一种新方式让安全重回中心。

“问题是,根据CA Veracode和DevOps.com的2017年DevSecOps全球技能调查,当今世界没有对开发人员进行适当的编码安全教育。“DevOps.com主编Alan Shimel表示,”由于行业违规行为的出现,则进一步强调了将安全问题整合到 DevOps 流程中的必要性,因此更多组织需要确保在其DNA中加入适当的安全培训。“由于一般的教育不能满足安全需求,所以组织需要通过增加对教育的支出来弥补差距。”CA Veracode 11月份的软件安全开发者指南重申了安全教育的必要性,并强调这不是一个一次性的提议。随着应用程序体系结构,语言和功能的不断变化,开发人员需要不断学习应用程序安全技能,并在专业领域进行实践。

DevSecOps 成为一种流行趋势,这让 DevOps 团队开始思考如何将安全问题融入软件的整个生命周期。“目前应用程序最大的安全问题是开发组织并没有去保护他们的软件,他们迫切发布软件。如果组织没有在各个层面上衡量和报告安全与发展之间的共同责任,那么安全问题始终会存在。”Veracode 开发人员Peter Chestna 说。

开放 Web 应用安全项目组织(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自 2013 年以来的首次更新。2017年前10名版本包括:注入(Injection),破坏身份认证(Broker Authentication),敏感数据泄露(Sensitive Data Exposure),XML外部处理器漏洞(XXE),失效的访问控制(Broken Access Control),安全配置错误(Security Misconfiguration),跨站脚本攻击(XSS),不安全的反序列化(Insecure Deserialization),使用含有已知漏洞的组件C(Using Components with Known Vulnerabilities),记录和监控不足风险(Insufficient Logging and Monitoring)。

展望 2018 年,Gartner 预测,随着安全性在数字世界变得越来越重要,更多的组织将采用持续的适应性风险和信任评估(CARTA)模型来应对安全问题。

根据卡内基梅隆大学软件工程研究所(SEI)2017年新兴技术领域风险报告,在新的一年中将面临最大风险的技术将包括智能交通系统,机器学习和智能机器人。

来自:sdtimes

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:2018 年,不要事后才想到代码安全问题
加载中

最新评论(2

泷涯SY
泷涯SY

引用来自“大脸鼠爱吃猫”的评论

wordpress的就行就说明大多数情况下,考虑安全就是浪费时间
wordpress本身已经较少出现严重漏洞了,那它来举例不是很恰当
大脸鼠爱吃猫
大脸鼠爱吃猫
wordpress的就行就说明大多数情况下,考虑安全就是浪费时间
返回顶部
顶部