安全測試人員與程序員是應(yīng)用安全的“守門員”_第1頁
安全測試人員與程序員是應(yīng)用安全的“守門員”_第2頁
安全測試人員與程序員是應(yīng)用安全的“守門員”_第3頁
安全測試人員與程序員是應(yīng)用安全的“守門員”_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

第第頁安全測試人員與程序員是應(yīng)用安全的“守門員”安全測試人員與程序員是應(yīng)用安全的“守門員”

發(fā)表于:2023-10-24來源:測試窩:白云點擊數(shù):標(biāo)簽:安全測試

安全測試人員與程序員是應(yīng)用安全的“守門員”.絕大多數(shù)的企業(yè),都是在Web應(yīng)用設(shè)計結(jié)束后才開始考慮應(yīng)用安全的問題,應(yīng)用安全與應(yīng)用開發(fā)之間的脫節(jié)是導(dǎo)致各種嚴(yán)重的安全漏洞的根源。

絕大多數(shù)的企業(yè),都是在(Web)應(yīng)用設(shè)計結(jié)束后才開始考慮應(yīng)用(安全)的問題,應(yīng)用(安全)與應(yīng)用(開發(fā))之間的脫節(jié)是導(dǎo)致各種嚴(yán)重的安全漏洞的根源。

對很多互聯(lián)網(wǎng)企業(yè)來說,Web應(yīng)用安全往往在開發(fā)過程中被忽略。VentureBeat的專欄JohnJacott最近發(fā)表了一篇博文認(rèn)為安全的第一個也是最重要的環(huán)節(jié)是程序員。IT經(jīng)理網(wǎng)編譯如下:

如今,你隨處都能聽到各種各樣Web應(yīng)用被攻破的新聞。黑客們針對Web應(yīng)用發(fā)起攻擊,盜取敏感企業(yè)或個人數(shù)據(jù)等。各種黑客組織出于各種原因,針對不同的組織進(jìn)行攻擊。

絕大多數(shù)的企業(yè),都是在Web應(yīng)用設(shè)計結(jié)束后才開始考慮應(yīng)用安全的問題。他們可能在應(yīng)用開發(fā)結(jié)束后才進(jìn)行安全(測試),或者在應(yīng)用正式上線前進(jìn)行(測試)。有的甚至在正式上線后才進(jìn)行安全測試。其實,業(yè)界中有很多著名的公司就是這么做的。這也就是你為什么經(jīng)常能夠聽到那些大公司的Web應(yīng)用遭受攻擊或者數(shù)據(jù)被盜取的新聞。

造成這一情況的根源,在于應(yīng)用安全與應(yīng)用開發(fā)之間的脫節(jié)導(dǎo)致各種嚴(yán)重的安全漏洞。一般來說,應(yīng)用開發(fā)程序員往往不是安全專家,而大部分安全專家則并不是程序員。因此,在對付應(yīng)用安全問題上,需要這兩方面的人員更好,更早地在開發(fā)過程中進(jìn)行合作。

在開發(fā)早期就要重視質(zhì)量控制(QA)

通常,QA是一個事后過程,或者是在開發(fā)后期才會考慮的問題。一個180天的開發(fā)項目,可能在最后20天是留給QA的,而安全測試則可能只有3天。

這樣會產(chǎn)生幾個問題,由于QA和安全測試在測試一個完整的應(yīng)用程序,測試可能會發(fā)現(xiàn)一些嚴(yán)重問題,而這些問題需要程序員來解決。

這樣問題來了,當(dāng)這些問題被發(fā)現(xiàn)的時候,程序員可能已經(jīng)結(jié)束項目了,在規(guī)定期限內(nèi)完成了項目要求,或者已經(jīng)去別的項目了。而這時候出現(xiàn)的安全問題可能已經(jīng)不是程序員們需要解決的重點了。

程序員介入安全問題越早越好

程序員在早期介入安全問題,就意味著那些對應(yīng)用最熟悉的人,能夠有最多的時間和精力去解決安全問題。

我們不能指望在開發(fā)結(jié)束后,程序員轉(zhuǎn)到另外的項目以后,才開始考慮安全問題。對安全問題的考慮,必須是漸進(jìn)的,貫穿整個開發(fā)過程的。同樣的,安全測試也是如此。

不少人都知道,程序員們一般都抵觸安全問題,因為他們沒有時間,沒有能力,沒法理解在完成應(yīng)用的同時還要去滿足一系列安全的要求。如果你開發(fā)一個產(chǎn)品的同時還對你提出一堆安全性的要求。你可能也會這么認(rèn)為。而且,你如何保證程序員們都是安全測試的專家,而安全測試的專家們又不介入程序開發(fā)。

不少網(wǎng)絡(luò)安全公司都針對程序員進(jìn)行一些如跨站攻擊(XSS)的(培訓(xùn))。然而,我們卻發(fā)現(xiàn)這樣的漏洞卻越來越多。有些漏洞甚至都存在了15年。這樣的(培訓(xùn))往往不成功,因為很多企業(yè)并沒有采取正確的開發(fā)流程。

安全(測試人員)要善于與程序員溝通

安全測試專家需要更好地了解應(yīng)用開發(fā)的過程,需要給出程序員能夠理解的明確要求。通過技術(shù)和流程來測試應(yīng)用的質(zhì)量和安全性以及代碼的質(zhì)量和安全性。

安全測試人員不要在項目結(jié)束后才提出測試要求。對代碼的測試需要按照天為單位,或者在代碼提交后就進(jìn)行測試。對代碼的(缺陷)要用程序員能夠理解的方式告訴他們,并對他們?nèi)绾涡薷奶峁┚唧w的指導(dǎo)。

這也就是為什么企業(yè)需要在開發(fā)開始時就開始讓程序員介入安全測試。程序員們對應(yīng)用的熟悉程度最高,可以實時地處理發(fā)現(xiàn)的安全問題。

采取程序員優(yōu)先的應(yīng)用安全的最佳實踐

盡管很多企業(yè)還沒有意識到應(yīng)用安全應(yīng)該作為Web應(yīng)用的一項重要的要求,也有不少企業(yè)已經(jīng)意識到了。

這些企業(yè)理解應(yīng)用開發(fā)過程。他們愿意讓程序員去喝QA或者安全人員進(jìn)行溝通。他們采取了一系列方式來倡導(dǎo)程序員優(yōu)先的應(yīng)用安全開發(fā),

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論