4種方法確保項目在交付之前是安全的����。
科技的閃電速度讓人們期待近乎瞬間的結(jié)果。對于開發(fā)人員來說����,這種期望的壓力可能會導(dǎo)致過早地發(fā)布最終產(chǎn)品。除了可能已經(jīng)解決的潛在bug之外�,發(fā)貨過早可能會忽略重要的安全措施。
無論您是設(shè)計電子商務(wù)網(wǎng)站還是構(gòu)建軟件應(yīng)用程序���,安全性都應(yīng)該是您的團(tuán)隊在每個項目開始時的主要關(guān)注點�����。如果沒有對安全性進(jìn)行詳細(xì)的關(guān)注����,就會將最終用戶置于危險之中���。
安全性最好從項目的第一天就作為項目的一部分進(jìn)行開發(fā)��。項目進(jìn)行得越久��,實現(xiàn)安全性就越困難���,如果您等待的時間太長�,就必須發(fā)布不安全的產(chǎn)品����。
以下是如何確保項目在發(fā)布之前是安全的。
對所有事情使用更新的安全協(xié)議
根據(jù)您的項目有多大����,您可能需要使用現(xiàn)有的框架來開始。確保應(yīng)用程序的每個方面都使用了更新的安全協(xié)議����。如果您想使用不符合安全標(biāo)準(zhǔn)的第三方創(chuàng)建的框架或腳本,請修復(fù)它或?qū)ふ移渌鉀Q方案�。
從一開始就對安全問題一絲不茍,避免將客戶置于脆弱的境地�。你會驚訝于有多少次軟件應(yīng)用程序被大公司使用,結(jié)果卻充滿了漏洞��。
擁抱SecOps
你聽說過DevOps��,但是SecOps呢?當(dāng)開發(fā)人員意識到DevOps過程中沒有包含安全性時����,就創(chuàng)建了SecOps。這個組合現(xiàn)在被稱為DevSecOps���。
SecOps的目標(biāo)是在安全與行動之間找到一個健康的中間地帶——當(dāng)發(fā)生沖突時����,這就變得很困難��。如果操作被安全限制扼殺�����,產(chǎn)品將永遠(yuǎn)無法發(fā)貨�����。然而�,如果產(chǎn)品發(fā)貨太快,該公司可能會成為最新安全新聞?wù)娮余]件的笑柄��。
如何在平穩(wěn)的操作和嚴(yán)格的安全性之間建立一個良好的平衡?White Source軟件提供了一些將SecOps集成到每個項目中的有用技巧��。首先���,建議每個人都擁有安全性����。一旦每個人都接受了他們的角色,下一步是對整個團(tuán)隊進(jìn)行SecOps最佳實踐的培訓(xùn)���,并鼓勵他們考慮如何將這些最佳實踐合并到他們的工作中�。最后��,擁抱自動化測試�,以抓住容易實現(xiàn)的成果,否則需要團(tuán)隊花費幾個小時才能發(fā)現(xiàn)��。
構(gòu)建所有的應(yīng)用程序�,就像它們將被連接到網(wǎng)上一樣
有時你可能會遇到這樣的客戶,他們想要一個他們發(fā)誓永遠(yuǎn)不需要連接到互聯(lián)網(wǎng)的應(yīng)用程序?��,F(xiàn)在可能是這樣��,但不能保證他們的應(yīng)用程序在未來十年仍然是孤立的���。
始終按照最高的安全性規(guī)范構(gòu)建每個項目,即使客戶端似乎不需要這種額外的安全性。例如�,不應(yīng)該將數(shù)據(jù)存儲在未加密的數(shù)據(jù)庫中。未加密的數(shù)據(jù)總是存在安全風(fēng)險���。在一個孤立的環(huán)境中風(fēng)險較低���,但它仍然是一個風(fēng)險����。
多年來,許多孤立的環(huán)境都是在線的����,其結(jié)果是增加了漏洞。例如��,在2017年��,在現(xiàn)已不存在的海事AmosConnect 8網(wǎng)絡(luò)平臺上發(fā)現(xiàn)了幾個漏洞�����。最初��,這款軟件是單獨使用的,不能連接互聯(lián)網(wǎng)?���,F(xiàn)在船員們通過互聯(lián)網(wǎng)操作,這艘船的老軟件很脆弱��?��?赡茏畲蟮穆┒词菙?shù)據(jù)庫以明文形式存儲登錄憑據(jù)�。
不要因為客戶端不打算讓他們的應(yīng)用程序上線就跳過加密或任何其他安全協(xié)議����。
承認(rèn)你的項目不是不可戰(zhàn)勝的
創(chuàng)建安全應(yīng)用程序的一部分是認(rèn)識到您創(chuàng)建的任何東西都不是不可戰(zhàn)勝的。不要對應(yīng)用程序的安全性過于自信�����,尤其是在您還沒有發(fā)布最終產(chǎn)品的情況下���。
從這個角度來看�����,即使是世界頂級的軟件公司也有數(shù)百個漏洞�。例如2016年,Android有523個漏洞�,Ubuntu (Linux)有278個漏洞,Adobe Acrobat Reader Dc有227個漏洞�。
當(dāng)您認(rèn)識到漏洞的不可避免性時,您就不會在任何階段發(fā)現(xiàn)bug時陷入防御的陷阱�����,即使是在發(fā)布之后���。
安全需要努力工作
從項目一開始就考慮安全性需要很強的團(tuán)隊合作。為了避免操作和安全之間的沖突��,讓整個團(tuán)隊掌握安全的所有權(quán)���?����?紤]到他們所做的一切都是安全的��,將會有更少的頭部碰撞和發(fā)貨的產(chǎn)品將是安全的���。
