我們最常聽到源于跨站腳本和SQL注入攻擊的安全泄露事故，這些事故通常發(fā)生在相關(guān)漏洞被成功利用后。那么我們應(yīng)該怎樣做來防止這種攻擊呢?

一個全面的安全團隊不僅能夠?qū)κ录吐┒蠢锰峁╉憫?yīng)措施，還能夠積極配合內(nèi)部信息系統(tǒng)團隊來打造一個積極主動的軟件安全態(tài)勢。用于為信息系統(tǒng)和軟件構(gòu)建安全代碼的有效的應(yīng)用安全程序通常依賴于兩種類型的自動安全測試：靜態(tài)安全掃描測試和動態(tài)安全掃描測試。

靜態(tài)掃描通常發(fā)生在代碼開發(fā)周期中，其中，靜態(tài)代碼通過威脅建模和分析進行掃描，從中發(fā)現(xiàn)漏洞。而動態(tài)掃描是對生產(chǎn)環(huán)境的實際代碼進行掃描，在代碼處于工作狀態(tài)時查找漏洞。還有第三種類型的測試—手動滲透測試，其中涉及白帽分析，需要人類參與。通常，有效的應(yīng)用安全程序會利用這三種安全掃描測試，靜態(tài)安全和動態(tài)安全掃描是作為應(yīng)用開發(fā)生命周期的一部分，而滲透測試則在需要時使用。

有效的自動代碼掃描策略必須盡可能地?zé)o縫連接IT開發(fā)團隊。有效的自動安全程序的關(guān)鍵成功因素是，需要IT開發(fā)團隊最少量的工作。在周期內(nèi)工作和主動安全程序之間有著反比關(guān)系。所需的周期外工作越多，安全代碼掃描程序部署和成功率就越低。在IT應(yīng)用開發(fā)周期外的代碼掃描通常需要開發(fā)進度以外的時間，并被視為額外的不受歡迎的任務(wù)。另外，調(diào)度和追蹤過程以及保持狀態(tài)還需要額外的努力。

成功部署安全代碼掃描程序的主要障礙是：

手動掃描工作：代碼掃描需要手動工作來上傳代碼(通過API或者通過門戶網(wǎng)站)，而這需要額外的開發(fā)時間和精力。在某些情況下，還需要特殊的編譯指令，以及特殊的構(gòu)建來支持這種掃描工作。

手動過程：開發(fā)過程周期外的代碼掃描需要為掃描時間表和重新掃描之前的持續(xù)時間建立一個程序。這將需要專門的資源來管理這個程序，以確保提醒設(shè)置和掃描在規(guī)定日期完成。

代碼覆蓋：測試領(lǐng)域有一句老話，你不能測試你不知道的東西。需要開發(fā)人員上傳代碼的周期外測試同樣依賴于開發(fā)人員上傳正確的代碼，以用于靜態(tài)代碼掃描。對于維護該程序的安全團隊來說，確保所有庫和相關(guān)代碼被上傳幾乎是不可能的任務(wù)。有效的應(yīng)用程序靜態(tài)和動態(tài)代碼掃描程序有四個關(guān)鍵要素。

·內(nèi)部部署

·連續(xù)掃描

·與開發(fā)構(gòu)建周期緊密整合

·與缺陷追蹤系統(tǒng)緊密集成

1.內(nèi)部部署

內(nèi)部部署并鏈接到源代碼控制系統(tǒng)的掃描程序不再需要開發(fā)人員花時間來尋找代碼、進行特殊的編譯和上傳代碼。相反地，開發(fā)人員可以在源代碼控制樹選擇代碼的正確位置，所有子文件都將進行定期掃描。內(nèi)部部署的動態(tài)掃描解決方案可以簡化動態(tài)掃描，因為不需要更改防火墻規(guī)則來允許掃描測試供應(yīng)商使用外部工具來訪問測試網(wǎng)站。

2.連續(xù)掃描

內(nèi)部部署系統(tǒng)可以設(shè)置為連續(xù)掃描，這不需要手動來上傳代碼，內(nèi)部部署系統(tǒng)還可以配置為連續(xù)掃描或定期掃描，因為這種內(nèi)部部署設(shè)置，現(xiàn)在企業(yè)可以更為頻繁地進行掃描。

3. 與開發(fā)構(gòu)建周期緊密整合

與源代碼控制和構(gòu)建系統(tǒng)緊密集成的掃描程序允許代碼掃描利用很多源代碼控制和構(gòu)建系統(tǒng)的功能。例如，使用連續(xù)構(gòu)建集成的高級開發(fā)團隊可將構(gòu)建系統(tǒng)配置為：在開發(fā)人員的構(gòu)建被整合或簽入到主代碼庫之前通過某些測試。代碼安全掃描測試還可以設(shè)置為這些性能測試或單元測試之一。

4.與缺陷追蹤系統(tǒng)緊密集成

大多數(shù)現(xiàn)代源代碼控制和構(gòu)建系統(tǒng)還與缺陷跟蹤系統(tǒng)緊密集成，這樣一來，軟件缺陷就可以連接到特定版本的代碼，這反過來又可以聯(lián)系到特定系統(tǒng)構(gòu)建。有些代碼掃描程序會在現(xiàn)有缺陷管理系統(tǒng)自動創(chuàng)建缺陷，這能幫助減少周期外時間，并將無縫整合安全缺陷到團隊缺陷積壓中。

有效的主動應(yīng)用安全需要代碼掃描無縫地整合到應(yīng)用開發(fā)周期，安全掃描越能夠像現(xiàn)有開發(fā)流程一樣工作，開發(fā)團隊成功部署和持續(xù)使用的機會就越大。