2016年初，正當人們在憧憬新一年的美好愿景之時，中國股市的兩次“熔斷” 和一場席卷半個中國的寒潮給許多人的心理和身理上帶來了雙重寒意。悲觀的人也許會認為這一年已經(jīng)蒙上了一層陰影，而樂觀的人則相信嚴寒過后溫暖的春天就要到來。同樣對于“應(yīng)用安全”領(lǐng)域而言，層出不窮的應(yīng)用漏洞、各種形式的應(yīng)用攻擊、不斷曝光重大事故，給各種應(yīng)用的開發(fā)者、運營者及最終用戶造成了不小的心理陰影。

這幾年間，我們多少都會注意到應(yīng)用本身在發(fā)生的一些變化。我們今天所看到的應(yīng)用與幾年前的應(yīng)用有很大的不同。特別是如今的應(yīng)用設(shè)計與開發(fā)，受云計算、移動網(wǎng)絡(luò)等技術(shù)的發(fā)展所影響，所以在應(yīng)用市場，基于云計算、支持智能移動設(shè)備的應(yīng)用的市場份額越來越高。一些技術(shù)正在死去，個別仍有機會重生，但市場上最活躍的永遠是新生的事物。未來我們會看到更多的傳統(tǒng)應(yīng)用向新的應(yīng)用遷移。所以我們談?wù)摻裉斓膽?yīng)用安全，更多的焦點會落在以云計算應(yīng)用和移動應(yīng)用為代表的新應(yīng)用上來。

應(yīng)用的威脅發(fā)生了哪些變化?

首先，越是知名的應(yīng)用、用戶數(shù)量越多，越容易成為攻擊者的目標。

而應(yīng)用安全都不總是與應(yīng)用的規(guī)模成正比，一些知名應(yīng)用的安全性只是比一般應(yīng)用稍好一點。從近年來國內(nèi)外的一些著名應(yīng)用攻擊案例看來，攻擊者的目標更加直接而明確，動作迅速而隱蔽，而且破害力極大。一次攻擊搞垮一家公司并不是只出現(xiàn)在電影情節(jié)中，現(xiàn)實中依然可能發(fā)生。所以如果你的應(yīng)用上了一定規(guī)模，那么一定要特別重視應(yīng)用安全，而且不僅僅是重視，還應(yīng)該有具體的措施。

第二，應(yīng)用安全應(yīng)該根據(jù)不同的服務(wù)模型采取不同的方法。

以基于云計算的應(yīng)用為例。采用SaaS或PaaS的服務(wù)模型的應(yīng)用在各個方面就有明顯的區(qū)別。當對其展開安全工作時，有些安全措施和方法在這個模型下有效，而在另一個模型下就無效或效果不佳。所以在方法就應(yīng)該有所差別，不能一概而論。而各種新型的應(yīng)用模型的出現(xiàn)，對應(yīng)用安全是一種挑戰(zhàn)。相關(guān)的安全技術(shù)的創(chuàng)新和突破也不斷出現(xiàn)。這些領(lǐng)域的各種創(chuàng)新和進展都值得應(yīng)用安全的管理者關(guān)注。特別是要重點關(guān)注一些新興的已經(jīng)得到認可和廣泛的使用的應(yīng)用服務(wù)模型。目前的熱點仍在云應(yīng)用和移動應(yīng)用方面。下圖是給各位讀者推薦的一個混合云模型的參考，如圖：

圖片來源(IBM安全服務(wù)：十項安全實踐研討白皮書)

第三，不僅要關(guān)注應(yīng)用自身安全，還要關(guān)注生態(tài)系統(tǒng)及應(yīng)用周邊的安全。

今天的應(yīng)用安全并不是只做好自身就夠了。去年曝光的“XcodeGhost"事件就是一個例子，Apple公司的應(yīng)用開發(fā)工具Xcode被植入惡意代碼，導(dǎo)致國內(nèi)外許多公司的應(yīng)用受到影響。類似這樣的風險是許多應(yīng)用廠商以往從未考慮過的，更沒有相應(yīng)的的安全設(shè)計來消除的這類風險。而第三方工具只是應(yīng)用所處的生態(tài)系統(tǒng)中的一個環(huán)節(jié)，還有許多環(huán)節(jié)的安全問題會影響到我們的應(yīng)用。對于這一點，我們要有意識地去關(guān)注和獲取一些安全情報，這是一項非常必要的工作，它讓我們的安全視野從近景拉到遠景，從而及時發(fā)現(xiàn)感知潛在的安全問題。

盡管安全形勢不容樂觀，但應(yīng)用安全的內(nèi)外部環(huán)境的變化趨勢似乎漸漸明朗，許多應(yīng)用安全的思想和方法在過去的基礎(chǔ)上繼續(xù)發(fā)展進化。我們相信未來蘊含著許多機遇，而前提是我們需要做好準備，并開動腦筋從各個方面去迎接應(yīng)用安全的挑戰(zhàn)，努力讓我們的應(yīng)用變得更安全。

全生命周期保障應(yīng)用安全

顯然，如果可以在整個軟件開發(fā)生命周期內(nèi)，管理漏洞測試并可以自動關(guān)聯(lián)靜態(tài)、動態(tài)和互動式測試結(jié)果，才是解決問題的關(guān)鍵。面對這種現(xiàn)狀，IBM推出了應(yīng)用安全測試解決方案IBM Security AppScan，其針對移動和基于 Web 的應(yīng)用提供先發(fā)制人式保護，可保護應(yīng)用當前不被惡意使用，并補救未來可能的潛在攻擊，讓安全和開發(fā)團隊能夠在整個應(yīng)用生命周期中協(xié)作、制定策略并擴展測試。

據(jù)了解，在開發(fā)過程中IBM Security AppScan通過在軟件開發(fā)過程中及早識別基于 Web 的和移動應(yīng)用源代碼漏洞并在部署之前使之消失，幫助組織節(jié)省成本，降低風險。為了提供增強的移動應(yīng)用掃描功能，并支持對移動 Web、本機應(yīng)用和混合應(yīng)用的測試，IBM Security AppScan包含對 JavaScript、HTML5、Java 和 Objective-C 的支持，同時也支持與 IBM Worklight Studio 集成，并可掃描 Worklight 應(yīng)用。

在集成和發(fā)布階段，可以通過簡單的配置，使用IBM Security AppScan對應(yīng)用進行全面的掃描，企業(yè)僅需要指明 Web 應(yīng)用的入口鏈接，IBM Security AppScan就會利用網(wǎng)絡(luò)爬行(Crawling)技術(shù)，遍歷應(yīng)用中所有需要測試的鏈接，并對每個鏈接發(fā)送多種測試參數(shù)，診斷其有無漏洞可被利用，最后將結(jié)果呈現(xiàn)在用戶面前。

值得一提的是，IBM Security AppScan 不僅可以對 Web 應(yīng)用進行自動化的掃描、指出安全漏洞的修復(fù)意見，還可以將診斷結(jié)果，使用不同的行業(yè)標準、法規(guī)，形成針對性的報告，讓相關(guān)人員對應(yīng)用安全狀況和法規(guī)遵從等有了全面的認識。

總之，借助第三方專業(yè)的安全服務(wù)廠商是一條捷徑，畢竟他們的經(jīng)驗和專業(yè)可以給企業(yè)帶來的有力的幫助，但需要謹慎選擇。以上這幾點只代表本人對應(yīng)用安全的個人想法和體會，希望能給大家起到一點借鑒的作用。