设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 业界资讯 开源资讯 查看内容

2018年,不要事后才想到代码安全问题

2017-12-24 16:19| 发布者: joejoe0332| 查看: 656| 评论: 0|原作者: oschina|来自: oschina

摘要: 年复一年,企业都会在安全方面面临挑战,2017年也不例外。与其向业界宣传安全的重要性,还不如试着找一种新方式让安全重回中心。“问题是,根据CA Veracode和DevOps.com的2017年DevSecOps全球技能调查,当今世界没有 ...
年复一年,企业都会在安全方面面临挑战,2017年也不例外。与其向业界宣传安全的重要性,还不如试着找一种新方式让安全重回中心。

“问题是,根据CA Veracode和DevOps.com的2017年DevSecOps全球技能调查,当今世界没有对开发人员进行适当的编码安全教育。“DevOps.com主编Alan Shimel表示,”由于行业违规行为的出现,则进一步强调了将安全问题整合到 DevOps 流程中的必要性,因此更多组织需要确保在其DNA中加入适当的安全培训。“由于一般的教育不能满足安全需求,所以组织需要通过增加对教育的支出来弥补差距。”CA Veracode 11月份的软件安全开发者指南重申了安全教育的必要性,并强调这不是一个一次性的提议。随着应用程序体系结构,语言和功能的不断变化,开发人员需要不断学习应用程序安全技能,并在专业领域进行实践。

DevSecOps 成为一种流行趋势,这让 DevOps 团队开始思考如何将安全问题融入软件的整个生命周期。“目前应用程序最大的安全问题是开发组织并没有去保护他们的软件,他们迫切发布软件。如果组织没有在各个层面上衡量和报告安全与发展之间的共同责任,那么安全问题始终会存在。”Veracode 开发人员Peter Chestna 说。

开放 Web 应用安全项目组织(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自 2013 年以来的首次更新。2017年前10名版本包括:注入(Injection),破坏身份认证(Broker Authentication),敏感数据泄露(Sensitive Data Exposure),XML外部处理器漏洞(XXE),失效的访问控制(Broken Access Control),安全配置错误(Security Misconfiguration),跨站脚本攻击(XSS),不安全的反序列化(Insecure Deserialization),使用含有已知漏洞的组件C(Using Components with Known Vulnerabilities),记录和监控不足风险(Insufficient Logging and Monitoring)。

展望 2018 年,Gartner 预测,随着安全性在数字世界变得越来越重要,更多的组织将采用持续的适应性风险和信任评估(CARTA)模型来应对安全问题。

根据卡内基梅隆大学软件工程研究所(SEI)2017年新兴技术领域风险报告,在新的一年中将面临最大风险的技术将包括智能交通系统,机器学习和智能机器人。

来自:sdtimes


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部