软件安全最佳实践:首先关注的地方

尽管组织拥有大量可用的工具,但应用程序安全性仍然不足。

最近的数据显示,在过去四到五年中,软件供应链攻击同比增长了 600-700%,超过一半的美国企业在过去 12 个月中遭受过某种形式的软件供应链攻击。  

为何应用程序安全工作未能达到预期? 

其根源在于: 

庞大的软件工厂

开发变得更加复杂,而构建开发人员环境(SCM、CI/CD 工件存储库、云基础设施等)比以往任何时候都更加容易和快速。

随着这种转变,安全部门正在失去对开发环境的可见性,从而导致大量攻击面得不到控制。    

孤立的风险识别和分类

多种应用程序安全工具用于评估应用程序中的风险,但每种工具都会查看应用程序的不同区域,并且发现的问题通常没有联系或关联,因此很难在噪音中找到信号。

同时,大多数组织现在都有云安全团队、应用程序安全团队、DevOps 团队等,通常对端到端软件工厂或其中生产的软件的风险没有任何整体了解。  

忽略攻击面

现有的应用程序或云安全工具专注于云基础设施和应用程序本身,但在很大程度上忽略了软件工厂。

这些工具没有考虑源代码控制管理系统、CI/CD 系统甚至工件注册表中的风险,恶意攻击者已经意识到了这一点。  

 弥合 AppSec 差距的重点工作在哪里  
 
你从哪里开始呢?

根据我们最常看到的差距和风险,建议优先考虑以下被忽视的领域:  

机密扫描

我们经常看到组织环境中的机密被泄露。机密已成为攻击者的首要切入点。对整个开发环境(而不仅仅是源代码)进行机密扫描是至关重要的第一步。机密可能隐藏在 wiki 文件、Jira 票证、日志文件和容器中,因此在搜索潜在漏洞时必须广撒网。 

定期轮换密钥并利用密钥管理系统可以显著降低凭证被盗用的风险。此外,实施蜜罐令牌可以充当预警系统,在发生更严重的攻击之前提醒安全团队注意潜在的漏洞。 

最小权限

开发人员在项目间拥有过多权限的情况并不少见,这会不必要地增加攻击面。为了方便起见,构建工具经常配置过多权限,但这些系统通常可以访问敏感 IP,例如代码、生产数据等。 

保持可见性和正确配置:安全团队需要实时了解开发人员创建的新建资产或管道。为管道和云基础设施创建“铺平道路”或预配置的安全模板可以显著降低配置错误的风险,并使开发人员更容易采用安全做法。 

基于风险的左移

在将漏洞发送给开发人员之前,使用业务背景和基于风险的方法对其进行分类。仅发送关键或高危漏洞可能会忽略高价值资产中非常容易被利用的中等漏洞,而将所有漏洞发送给开发人员只会淹没这些漏洞,并让他们陷入安全债务。

在评估要修复的内容和修复速度时,找到一个折衷方案,考虑诸如暴露、业务影响、可利用性和合规性等因素。 

培训

虽然安全编码实践很重要,但组织也应该注重教导开发人员识别网络钓鱼尝试,了解正确的配置管理,并注意依赖混淆和命名空间攻击等威胁。 

利用应用程序安全态势管理 (ASPM) 弥补差距  

手动实施这些最佳实践可能是一项艰巨的任务,尤其是对于已经超负荷工作的安全和开发团队而言。

这时,应用程序安全态势管理 (ASPM) 工具就可以提供巨大的价值。

ASPM 解决方案提供整个软件供应链的端到端可视性,关联来自多个来源的漏洞,并实现基于风险的安全问题优先级排序。 

通过采用这些最佳实践并利用适当的工具,组织可以采取有意义的步骤来保护整个软件开发生命周期 (SDLC) ,降低实际风险并构建更具弹性和可扩展的软件安全程序。  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/879804.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

相亲交易系统源码详解与开发指南

随着互联网技术的发展,越来越多的传统行业开始寻求线上转型,其中就包括婚恋服务。传统的相亲方式已经不能满足现代人快节奏的生活需求,因此,开发一款基于Web的相亲交易系统显得尤为重要开发者h17711347205。本文将详细介绍如何使用…

WEB攻防-JavaWweb项目JWT身份攻击组件安全访问控制

知识点: 1、JavaWeb常见安全及代码逻辑; 2、目录遍历&身份验证&逻辑&JWT; 3、访问控制&安全组件&越权&三方组件; 演示案例: JavaWeb-WebGoat8靶场搭建使用 安全问题-目录遍历&身份认…

Ubuntu20.04 搜索不到任何蓝牙设备

电脑信息 联想扬天YangTianT4900k 问题描述 打开蓝牙之后,一直转圈,搜索不到任何蓝牙设备 排查 dmesg | grep -i blue 有如下错误: Bluetooth: hci0: RTL: unknown IC info, lmp subver 8852, hci rev 000b, hci ver 000b lsusb 芯片型号如…

imo云办公室 Imo_DownLoadUI.php 任意文件下载漏洞复现

0x01 漏洞描述: imo云办公室由上海易睦网络科技有限公司于2007年创立,总部位于上海,imo云办公室管理运营企业即时通讯平台imo,包括对imo的在线支持,故障处理,客户服务等,对imo进行持续研发&…

Nexpose 6.6.269 发布下载,新增功能概览

Nexpose 6.6.269 for Linux & Windows - 漏洞扫描 Rapid7 Vulnerability Management, release Sep 11, 2024 请访问原文链接:https://sysin.org/blog/nexpose-6/,查看最新版。原创作品,转载请保留出处。 作者主页:sysin.or…

web - JavaScript

JavaScript 1,JavaScript简介 JavaScript 是一门跨平台、面向对象的脚本语言,而Java语言也是跨平台的、面向对象的语言,只不过Java是编译语言,是需要编译成字节码文件才能运行的;JavaScript是脚本语言,不…

Mac 上哪个剪切板增强工具比较好用? 好用剪切板工具推荐

在日常文字编辑中,我们经常需要重复使用复制的内容。然而,新内容一旦复制,旧内容就会被覆盖。因此,选择一款易用高效的剪贴板工具成为了许多人的需求。本文整理了一些适用于 macOS 系统的优秀剪贴板增强工具,欢迎大家下…

人工智能-大语言模型-微调技术-LoRA及背后原理简介

1. 《LORA: LOW-RANK ADAPTATION OF LARGE LANGUAGE MODELS》 LORA: 大型语言模型的低秩适应 摘要: 随着大规模预训练模型的发展,全参数微调变得越来越不可行。本文提出了一种名为LoRA(低秩适应)的方法,通过在Transf…

用JS给官方电子课本扩展个下载功能

为了方便学生、老师和家长,官方提供了几乎所有在用的正版电子课本,由于没有下载功能,只能在线看,有点不方便。 为了更方便使用,用JS外挂了一个下载按钮。 扩展后效果如图: (根据2022年版课程…

fastadmin 部署后前台会员中心出现404错误

访问前台会员中心出现404错误。 解决:nginx访问站点增加伪静态 location / {if (!-e $request_filename){rewrite ^(.*)$ /index.php?s$1 last; break;} }在phpstydy中增加伪静态,如图:

基于java的工费医疗报销管理系统设计与实现

博主介绍:专注于Java vue .net php phython 小程序 等诸多技术领域和毕业项目实战、企业信息化系统建设,从业十五余年开发设计教学工作 ☆☆☆ 精彩专栏推荐订阅☆☆☆☆☆不然下次找不到哟 我的博客空间发布了1000毕设题目 方便大家学习使用 感兴趣的…

专题六_模拟_算法详细总结

目录 模拟算法 1.模拟算法流程(一定要在草稿纸上演算一遍流程) 2.把流程转换成代码 1. 替换所有的问号(easy) 解析: 1.暴力: 2.优化:(找规律) 总结: …

Vue3+Element Plus:使用el-dialog,对话框可拖动,且对话框弹出时仍然能够在背景页(对话框外部的页面部分)上进行滚动以及输入框输入信息

【需求】 使用Element Plus中的el-dialog默认是模态的(即它会阻止用户与对话框外部的元素进行交互),对话框弹出时仍然能够在背景页(对话框外部的页面部分)上进行滚动以及输入框输入信息,且对话框可拖动 【…

TCP/IP五层模型

OSI七层模型 OSI(Open Systems Interconnection)七层模型是一种概念框架,用于标准化不同计算机系统之间的通信过程 它由国际标准化组织(ISO)在1984年提出,主要用于网络通信 这七层模型从上到下分别是: 应用层(Application Layer):为应用软件提供网络服…

tomcat服务器

tomcat简介 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器。Tomcat 虽然和 Apache 或者 Nginx 这些 Web 服务器一样,具有处理 HTML 页面的功能,然而由于其处理静态 HTML 的能力远不及 Apache 或者 Nginx&#x…

Leetcode 93-复原 IP 地址

有效 IP 地址 正好由四个整数(每个整数位于 0 到 255 之间组成,且不能含有前导 0),整数之间用 ‘.’ 分隔。 例如:“0.1.2.201” 和 “192.168.1.1” 是 有效 IP 地址,但是 “0.011.255.245”、“192.168.…

计算机毕业设计 服装生产管理系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点…

MySQL之表内容的增删改查(含oracel 9i经典测试雇佣表下载)

目录 一:Create 二:Retrieve 1.select列 2.where条件 3.结果排序 4. 筛选分页结果 三:Update 四:Delete 1.删除数据 2. 截断表 五:插入查询结果 六:聚合函数 七:group by子句的使用 表内容的CRUD操作 : Create(创建), Retrieve(读取)…

Win10 录屏秘籍大公开:从新手到高手的进阶之路

之前因为某些原因不方便到客户那里进行软件培训,我们就发现录屏讲解供客户随时查看的方式好像更有效果。这次我就介绍一些能够实现win10怎么录屏操作的工具讲解。 1.福昕录屏大师 链接:www.foxitsoftware.cn/REC/ 这个工具是一款专业的电脑录屏软件&a…

【三大运营商】大数据平台体系架构【顶层规划设计】

在国内运营商(如中国移动、中国联通、中国电信)的大数据平台建设中,顶层规划设计至关重要。以下是针对三大运营商为例【如电信】的大数据平台体系架构的顶层规划设计方案,涵盖整体架构、关键组件、数据管理、应用场景等方面。 1. …