首页 > 信息安全 > 正文

探索应用安全培训的认知差距

2012-06-17 11:44:14  来源:企业网

摘要:Veracode公司联合创始人兼首席技术官Chris Wysopal表示,企业和中小企业需要对开发人员进行安全基础培训,解决遗留代码问题,为整个软件开发计划建立基础,但是启动应用安全并不是简单的工作
关键词: 应用安全

  在SearchSecurity.com的采访中,Wysopal解释了对开发人员进行应用安全培训的重要性,以及企业应如何让安全不仅只对高风险应用。Wysopal表示,解决遗留软件问题仍然是一个挑战,但是企业可以采取小步调,少投入,获得大回报。

 

  编者按:这是采访问答的第一部分,主要探索应用安全计划的基础、威胁以及解决方案。

 

  建立一个安全软件开发环境的基本要素有哪些?

 

  Chris Wysopal:进行一些基本的基础培训是很重要的,至少应该对应用安全应用安全原则进行一些介绍。一般情况下,我认为开发人员并不是很重视他们代码中与安全相关的漏洞和缺陷。仅仅知道有攻击者,他们会攻击这些漏洞和数据;他们是如何攻击的才真正重要。

 

  他们觉得其实这并不是一个很大的问题。开发人员可以利用空闲时间花一个小时学习电子课堂。所以最关键的是要对为什么要修改这些错误有一个基本的认识。

 

  企业中,典型的应用安全隐患是什么?

 

  Wysopal: 我认为最大的安全问题是:应用安全只是特别针对风险最高的应用。企业可能有数百个高风险应用,而他们只会对其中五个考虑应用安全问题。

 

  一些开发团队会意识到应用安全问题,但其他人忽略这个问题。最终,应用安全成了只有少数人在做的特殊的事情。而事实上,应用安全是每个开发人员需要了解的事情。每个项目都在一定程度上需要应用安全。我认为最大的问题其实是认识的差距问题。

 

  对于试图改善软件开发的人而言,解决企业中的遗留软件问题存在什么难度?

 

  Wysopal:这是一个很大的挑战。有些人正试图制定应用安全计划;有些人则试图开发强大的软件,他们想方设法让开发人员意识到应用安全的重要性。然而这些工作都忽略了遗留软件问题。

 

  遗留软件就好像放在房间里的大象,没有人愿意处理。在新代码上编写安全代码远比回过头改造旧代码简单得多。

 

  之前的开发团队走了,资源没了,只留下老代码,坦白说,是很丑的老代码。我们不能忽略之前开发的所有应用,其中有些应用可能还会继续使用10年以上,所以我们必须保护这些应用。这的确是一个挑战。

 

  现在有很多应用安全框架和模式,你有什么指导建议?

 

  Wysopal:我认为对于有钱投资的成熟企业或者大型企业而言,在成熟模型中构建安全(BSIMM)是一个不错的方法。实际上,真正面临挑战的是那些还没有部署应用安全的企业。这些企业需要从非常基本的东西开始,然而,现在市面上并没有这样基础的方法。

 

  我们正在开发一种方案,旨在帮助企业从零开始部署应用安全,而不需要雇佣大的应用安全团队,也不需要做出较大的投资。开始这样做的前几天,你就能看到效果。我认为对于那些没有做出很大投入的人,这是我们指引的方向。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chaisenshark

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。