皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

2018 年,不要事后才想到代码安全问题

年复一年,企业都会在安全方面面临挑战,2017 年也不例外。与其向业界宣传安全的重要性,还不如试着找一种新方式让安全重回中心。

“问题是,根据 CA Veracode 和 DevOps.com 的 2017 年 DevSecOps 全球技能调查 ,当今世界没有对开发人员进行适当的编码安全教育。“DevOps.com 主编 Alan Shimel 表示,”由于行业违规行为的出现,则进一步强调了将安全问题整合到 DevOps 流程中的必要性,因此更多组织需要确保在其 DNA 中加入适当的安全培训。“由于一般的教育不能满足安全需求,所以组织需要通过增加对教育的支出来弥补差距。”CA Veracode 11 月份的软件安全开发者指南重申了安全教育的必要性,并强调这不是一个一次性的提议。随着应用程序体系结构,语言和功能的不断变化,开发人员需要不断学习应用程序安全技能,并在专业领域进行实践。

DevSecOps 成为一种流行趋势,这让 DevOps 团队开始思考如何将安全问题融入软件的整个生命周期。“目前应用程序最大的安全问题是开发组织并没有去保护他们的软件,他们迫切发布软件。如果组织没有在各个层面上衡量和报告安全与发展之间的共同责任,那么安全问题始终会存在。”Veracode 开发人员 Peter Chestna 说。

开放 Web 应用安全项目组织(OWASP)正式发布了十大最关键的 Web 应用安全风险 。这是该组织自 2013 年以来的首次更新。2017 年前 10 名版本包括:注入(Injection),破坏身份认证(Broker Authentication),敏感数据泄露(Sensitive Data Exposure),XML 外部处理器漏洞(XXE),失效的访问控制(Broken Access Control),安全配置错误(Security Misconfiguration),跨站脚本攻击(XSS),不安全的反序列化(Insecure Deserialization),使用含有已知漏洞的组件 C(Using Components with Known Vulnerabilities),记录和监控不足风险(Insufficient Logging and Monitoring)。

展望 2018 年,Gartner 预测,随着安全性在数字世界变得越来越重要,更多的组织将采用持续的适应性风险和信任评估(CARTA)模型来应对安全问题。

根据卡内基梅隆大学软件工程研究所(SEI)2017 年新兴技术领域风险报告,在新的一年中将面临最大风险的技术将包括智能交通系统,机器学习和智能机器人。

来自:sdtimes

转自 http://www.oschina.net/news/91779/2017-security-not-afterthought

分享到:更多 ()