coverity
如果您近几个月来一直关注科技网站,那么您可能已经注意到Java不断涌现的各种安全隐患。
诚然,我们 大多 谈论 的客户端,但它是整个Java品牌特别是有毒的,尤其是当 苹果withdr 东 西 从Mac浏览器 的 Java 小程序 。 尽管 更加精明的技术负责人意识到Java堆栈和Java与浏览器之间的关系之间的明显差异,但技术创新主管却可能不会。
但有其实问题就在开发过程中的心脏 , 用Java开发人员如何处理安全问题? 开发测试专家 Coverity 认为,需要完全重新考虑。
联合创始人安迪·周(Andy Chou)认为 ,通过尽早检测到Java堆栈中存在的 许多 漏洞,而不是将损失归咎于质量检查人员,可以轻松避免。
“现在,如果您要求开发人员在发布软件之前对其进行测试,他们怎么说? “好吧,我已经测试过了。” 这到底是什么意思? 真的没有什么意义。 无法衡量是否足够好。” Chou解释道。
“公司说什么对团队中的新开发人员来说是足够好的测试水平? 你不知道 他们有自己的做法,对测试意味着什么的想法。 如果他们没有做一致的事情,那么整个公司就不会一致。”
周说, 在某些开发环境中有一种感觉 , 即安全测试只是事后的想法,或者是安全团队以后将要处理的事情。 这种方法的问题在于,当您的应用程序达到质量保证并且发现缺陷时,解决问题所需的工作量通常会浪费宝贵的时间和金钱。 这也有可能使两支球队之间的关系日益破裂。
Chou认为,应该在开发过程中加入安全测试以缓解该问题,但他也认识到Java开发人员由于其复杂性而正确地避免了处理安全问题。
“我们作为一家公司的目标是帮助组织将质量和安全缺陷的检测推向开发阶段。 如果您查看典型的流程,您将拥有一个安全审核团队,他们可能会每年或每两年审核一次您的应用程序,” Chou说,认为这是“低效率的”。
“为了修复缺陷,需要对整个软件进行重新测试。 我们认为,与其将安全性纳入开发过程中,还不如将其定期进行。”
为了帮助Java开发人员,Coverity的三款产品搜寻源代码,并提供有关如何修补一些最常见漏洞的提示。 他们的 旗舰 产品质量顾问(Quality Advisor)对整个堆栈进行分析,以找出可能导致崩溃的缺陷,并为解决问题提供指导。 Security Advisor经过专门调整,可以发现诸如跨站点脚本和SQL注入之类的缺陷,并再次提供修复建议。 最新的工具Test Advisor旨在通过仅关注代码的最关键方面来提高单元测试效率。
Chou解释说,Coverity的工具旨在无缝集成到其正常工作流程中,从而“使开发人员更容易进入优先级”。 然而,他还认为,破裂的安全测试文化并不仅仅取决于单个开发人员。
“组织中的某些人必须扮演领导者或架构师的角色,并为重要决策制定政策。 一旦这样做,他们就可以进行设置并使其自动化。 不一定要由个人开发人员来做出此判断,而是整个组织。”
在Java Web应用程序中,SQL注入和跨站点脚本编写仍然是两个最常见的漏洞,Chou将其归结为两个因素-开发人员不知道如何正确处理它们以及Java与Web之间的交互。
“例如,如果您查看跨站点脚本,则部分是由于Web的体系结构,语言的使用方式以及浏览器的工作方式。 而不是Java本身有任何特殊问题。” 周说。
他补充说:“我的意思是,Java像对待其他数据一样对待HTML的输出。 对其了解还不足以帮助您。 您必须知道自己在做什么。 当涉及到安全性时,开发人员往往不知道他们在做什么-这就是它的根源。”
Coverity通过开放源代码发布具有十几种转义例程的Java库,为Java开发人员提供了帮助。 重要的是, 它是免费提供的, 无需注册Coverity的商业产品。 Coverity Security Library可通过 Github 和Maven使用。
首先将Java开发人员作为目标,并希望在开发团队和安全审核人员之间进行讨论是合乎逻辑的。 但是Coverity意识到,要使旧的方法完全消失,那么开发人员就需要消除“挑战”审核员的倾向。
周补充说:“我认为这种趋势会上升,因为在错误的时间。 如果他们认识到我们可以将其纳入流程,那么我们可以设计编码方式,从而避免出现这些漏洞。
“我认为这是错误的做法。 这是非常短期的方法。 我认为开发人员可以在改变对话中发挥作用。”
翻译自: https://jaxenter.com/spotlight-on-coverity-solving-javas-security-headache-105221.html
coverity
扫一扫
646
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
