一般的企业每天共计使用成千上万个定制App。问题是,其中很多组织不知道他们正使用多少个定制App,而且不能保证有甚至IT管理人员都不知道的App存在。更糟糕的是,即使是最好的APPSEC程序只根据Aspect Security检测大约10%的App。结果54%定制App不达标。这个数字在未来几年内只会增加,造成这种情况是因为松懈的安全和不断增长的可用App数量。
定制App特别容易受到黑客和盗贼的攻击,因为它们代表着阻力最小的途径。它们经常暴露在互联网上(这使得他们很容易探测漏洞)、迅速开发且不注意开发内安全并从各种代码和库源组装。此外,它们代表着比传统目标更大的攻击面。
为了应对定制App开发不断增长的问题, IT高管们必须接受贯穿整个SDLC的一个整体方法,同时避免额外IT工作人员、顾问和基础设施招致的额外开支。通过探针进程,IT能够准确获取所有需要安全防护的App库,并授权组织在运行App应用池上进行相关操作。在那里,一种批量并行扫描程序将快速辨别严重的可利用缺陷,就像在OWASP前十排行上面的那些,并且允许IT隔离问题App直至更深层次的扫描程序执行结束。
一旦IT拥有对现有App的掌控,那么企业就需要将其注意力转移至开发过程和发现切实可行的解决方案,以便从早期代码规划到批量开发中得意正确实施,特别是在当下快节奏的敏捷开发大背景下。在开发生命周期的早期执行静态应用安全测试(SAST),将允许IT发现大量的缺陷,比如跨平台脚本、SQL注入问题、代码错误等。
郑州APP开发公司建议大家在这个时期,能够很轻松的进行相应的修复,因为SAST以二进制代码运行,发现应用的路径,它也可以同已被大量当下定制App成功证明过的第三方软件或者类库进行混合使用。当App开发发展至QA阶段,动态应用安全测试(DAST)启动执行,以确保新增学前不会通过额外的网络接口而暴露。最后,人工渗透式测试需要在所有关键App上执行,并且从每个开发阶段的测试结果需要汇总并得到实质性的解决方案,从而最小化错误行动和帮助整体准确性。
豫公网安备 41010402002388号 网站地图 http://www.ur10.com/