新思科技分析六大常见的软件应用安全挑战

作者：新思科技软件质量与安全部门高级安全架构师杨国梁

当人们越来越依赖于物联网、大数据时，软件安全愈加重要。

                                   

现在是数据时代，数据的储存和处理与软件密不可分。在当今的数字世界里，信息数据已经成为很多企业必不可少的经济生产工具。与此同时，提升软件安全性以保护重要数据的挑战与日俱增。软件应用不够安全可能会导致直接的经济损失，并且对品牌声誉、客户满意度及合规都会产生极其负面的影响。如果等到被攻击才采取措施，所有的注意力会集中在补救工作以及损害控制上，那就为时已晚。

 

无论是研发团队还是管理团队都应该仔细研究最常见的应用程序安全挑战，在网络不法分子发起攻击前就提前做好防护，避免敏感数据被盗。那么企业面临的主要安全挑战是什么呢？如何克服？

 

根据新思科技的观察和从客户那里得到的反馈，企业面临的主要挑战有以下六种：

 

雇佣或者留住安全专家人才既困难又昂贵

网络安全职位人才短缺，薪水很可观。在美国，信息安全分析师在2018年的平均年薪为98,350美元，而收入最高的25%分析师的工资接近127,000美元。而且，根据中国在2020年7月发布的2019年城镇单位就业人员年平均工资来看，IT 行业已连续四年雄踞行业榜首。相信随着企业越来越重视软件安全，优秀的软件安全专才的薪资也会水涨船高。

 

遗留代码或者第三方应用程序可能会带来安全风险

黑客在不断琢磨访问企业系统最简单的方法。不幸地是，即使您一直在定期测试应用程序，但因为内部资源有限，缺乏时间、技能或工具，从而无法发现所有被黑客攻击或控制的资产。攻击者还喜欢利用遗留代码中的漏洞。当开发人员重新使用已经流通了数十年的代码时，他们可能会无意间继承其技术债，其中包括安全漏洞和缺陷。

 

庞大的需求需要弹性扩展能力应对

大多数公司不再遵循固定的发布周期。取而代之的是，持续集成和持续交付（CI/CD）已成为企业保持竞争力和满足客户需求的基本要求。并且这些持续发布的每一个版本功能都会带来不同级别的技术风险和业务影响，应用程序安全的编码必须能够协调和解决。

 

立即对变化进行响应

企业不仅需要处理大量频率不同的应用程序发布计划，也要顾及业务的快速发展。安全团队需要保持同步。如果没有一个完整的应用程序安全团队，但是业务需求激增，那企业只能很仓促地测试并清理代码。或者更糟的是，企业只能在软件发布后打补丁。

 

单一的测试工具不能发现所有漏洞

每种安全测试工具都有不同的优势，没有哪一款工具可以捕获一切漏洞。如果预算和资源限制，企业只能使用一个或两个安全测试工具，那就可能会错过关键漏洞。而且，如果没有能力复现和确认问题，企业可能会在误报上花费大量时间。

 

仅靠工具不足以确保安全

应用程序面临的安全状况不断变化。新的威胁和攻击大量涌现，而且新的法规提高了合规性要求。企业的软件测试和预防策略需要跟上这些变化。

 

面对以上软件安全挑战，企业可以做些什么？

 

部署软件安全计划不是一件简单的事情，有些企业会望而却步。幸运的是，还是有许多方法可以克服这些应用程序安全挑战。

 

比如，托管服务可以减轻安全负担，凭借按需提供的安全测试专业知识，识别业务重大漏洞，降低信息泄露风险。托管服务可以填补企业的安全资源缺口，根据当下需要选择所需的测试，包括动态应用安全测试、静态应用安全测试、渗透测试、移动应用安全测试以及托管网络安全测试等。

 

确保软件安全任重道远，无论是购买工具进行检测还是使用专业的托管服务，新思科技都建议企业在软件创建之初做好防护，做到安全“左移”，并贯穿在整个软件开发生命周期。