[[268594]]

【51CTO.com快譯】近期，數(shù)據(jù)泄密似乎突然變得更普遍，并在全球各地帶來廣泛影響。在澳大利亞，澳大利亞信息專員辦公室（OAIC）透露，1000多萬人的信息在一次事件中泄露。在新加坡，數(shù)千名紅十字會(huì)獻(xiàn)血者的個(gè)人信息泄露。而在美國，另一次大規(guī)模云數(shù)據(jù)泄露事件泄露了8000萬家庭的個(gè)人數(shù)據(jù)。最近的一連串攻擊表明黑客在大舉攻擊高價(jià)值目標(biāo)，這些只是其中幾個(gè)例子而已。

為了更好地了解最新的安全威脅和模式，韋里遜最近發(fā)布了《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》（DBIR），報(bào)告基于來自全球86個(gè)國家的41686次已確認(rèn)的安全事件和2013次數(shù)據(jù)泄密的實(shí)際數(shù)據(jù)。研究再次表明，Web應(yīng)用程序攻擊仍然是數(shù)據(jù)泄密最常見的攻擊途徑。

今年在一半以上與Web應(yīng)用程序攻擊有關(guān)的泄密中，攻擊者使用了竊取的憑據(jù)（登錄信息）。報(bào)告還顯示，金融服務(wù)業(yè)、醫(yī)療保健業(yè)、教育服務(wù)業(yè)、零售業(yè)和制造業(yè)是最容易受到Web應(yīng)用程序漏洞影響的幾個(gè)行業(yè)。

韋里遜的年度報(bào)告整理的所有這些數(shù)據(jù)提醒各行各業(yè)的公司應(yīng)重新評估應(yīng)用程序安全實(shí)踐方面的狀況。雖然Global Market Insights的一份新報(bào)告表明應(yīng)用程序安全市場將迎來快速增長，但許多公司在克服阻礙采用的內(nèi)部挑戰(zhàn)方面需要幫助。為了提供幫助，我們列出了阻止應(yīng)用程序安全計(jì)劃取得進(jìn)展的一些最常見的絆腳石：

企業(yè)為軟件確保安全所面臨的幾大絆腳石

•測試速度太慢：涉及手動(dòng)流程的當(dāng)前安全方法（比如滲透測試或手動(dòng)代碼審查）過于緩慢，無法擴(kuò)展以滿足公司的所有要求。

•相互脫節(jié)的團(tuán)隊(duì)：由于開發(fā)團(tuán)隊(duì)缺乏安全知識，安全團(tuán)隊(duì)又缺乏修復(fù)漏洞的開發(fā)專長，安全團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)常常不合拍。

•技術(shù)沒有為安全構(gòu)建：架構(gòu)、開發(fā)和框架等方面的決策通常在未考慮安全的情況下做出，這樣一來事后很難添加安全機(jī)制。

•誤報(bào)：企業(yè)組織尋找漏洞時(shí)常常遇到很高的誤報(bào)率和漏報(bào)率，因而導(dǎo)致解決那些漏洞所需的支持成本很高。

•成本：對許多企業(yè)組織來說，為越來越多的軟件應(yīng)用程序確保安全已變得成本過高。對漏洞缺乏深入了解使得企業(yè)幾乎不可能確定真正的成本，管理多家安全提供商時(shí)成本也會(huì)變得復(fù)雜。

由于上述任何一塊絆腳石，企業(yè)組織常常會(huì)放棄安全的應(yīng)用程序開發(fā)，也不會(huì)采取措施來管理應(yīng)對今天的應(yīng)用程序安全風(fēng)險(xiǎn)需要分配的人員、預(yù)算和時(shí)間。但若沒有實(shí)施適當(dāng)?shù)陌踩胧┖图夹g(shù)，企業(yè)組織就會(huì)遇到一大堆問題，包括：

•發(fā)布延遲和風(fēng)險(xiǎn)增加：應(yīng)用程序發(fā)布延遲常常伴隨著安全漏洞很晚才發(fā)現(xiàn)，或者發(fā)布的版本含有已知風(fēng)險(xiǎn)，導(dǎo)致客戶面臨風(fēng)險(xiǎn)。

•士氣下挫：由于軟件發(fā)布周期延遲，安全團(tuán)隊(duì)可能被視為開發(fā)者發(fā)布計(jì)劃的障礙。

•聲譽(yù)受損：安全泄密期間，可能面臨品牌、股東價(jià)值和客戶信心受損帶來的成本及法律成本。

結(jié)合自動(dòng)化、人工智能技術(shù)和人類智慧的應(yīng)用程序安全方面的新方法可以帶來更具成本效益、更準(zhǔn)確的應(yīng)用程序安全測試。整個(gè)軟件生命周期（SLC）中集成和自動(dòng)化的軟件安全還意味著，可以更早地找到并修復(fù)更多的漏洞，這將為所有相關(guān)人員節(jié)省時(shí)間、錢財(cái)和資源。

這么做可以為軟件安全投入降低風(fēng)險(xiǎn)，并以一種有條理、可擴(kuò)展的方式降低重大泄密的可能性。除此之外，經(jīng)過驗(yàn)證的漏洞可以消除誤報(bào)，從而減少資源。對于開發(fā)部門而言，加強(qiáng)教育能讓未來的項(xiàng)目有更安全的編程實(shí)踐。

結(jié)論是，今天的企業(yè)界需要更快速、更準(zhǔn)確的安全漏洞識別和修復(fù)，以提高安全支出的投資回報(bào)率。今天實(shí)施正確的技術(shù)將長期提高客戶的可信度和信任度。Web應(yīng)用程序安全技術(shù)已深入人心，用于企業(yè)界很有必要。

原文標(biāo)題：Top roadblocks to securing web applications，作者：Joseph Feiman

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】