網(wǎng)絡(luò)攻擊已經(jīng)屢見不鮮了，企業(yè)需要知己知彼，才能保護(hù)軟件安全。無論是研發(fā)團(tuán)隊還是管理團(tuán)隊都應(yīng)該仔細(xì)研究最常見的應(yīng)用程序安全挑戰(zhàn)，在網(wǎng)絡(luò)不法分子發(fā)起攻擊前就提前做好防護(hù)，避免敏感數(shù)據(jù)被盜。

現(xiàn)在是數(shù)據(jù)時代，數(shù)據(jù)的儲存和處理與軟件密不可分。在當(dāng)今的數(shù)字世界里，信息數(shù)據(jù)已經(jīng)成為很多企業(yè)必不可少的經(jīng)濟(jì)生產(chǎn)工具。與此同時，提升軟件安全性以保護(hù)重要數(shù)據(jù)的挑戰(zhàn)與日俱增。軟件應(yīng)用不夠安全可能會導(dǎo)致直接的經(jīng)濟(jì)損失，并且對品牌聲譽(yù)、客戶滿意度及合規(guī)都會產(chǎn)生極其負(fù)面的影響。如果等到被攻擊才采取措施，所有的注意力會集中在補(bǔ)救工作以及損害控制上，那就為時已晚。

那么企業(yè)面臨的主要安全挑戰(zhàn)是什么呢?如何克服?

根據(jù)新思科技的觀察和從客戶那里得到的反饋，企業(yè)面臨的主要挑戰(zhàn)有以下六種：

1. 雇傭或者留住安全專家人才既困難又昂貴

網(wǎng)絡(luò)安全職位人才短缺，薪水很可觀。在美國，信息安全分析師在2018年的平均年薪為98,350美元，而收入最高的25%分析師的工資接近127,000美元。而且，根據(jù)中國在2020年7月發(fā)布的2019年城鎮(zhèn)單位就業(yè)人員年平均工資來看，IT 行業(yè)已連續(xù)四年雄踞行業(yè)榜首。相信隨著企業(yè)越來越重視軟件安全，優(yōu)秀的軟件安全專才的薪資也會水漲船高。

2. 遺留代碼或者第三方應(yīng)用程序可能會帶來安全風(fēng)險

黑客在不斷琢磨訪問企業(yè)系統(tǒng)最簡單的方法。不幸地是，即使您一直在定期測試應(yīng)用程序，但因為內(nèi)部資源有限，缺乏時間、技能或工具，從而無法發(fā)現(xiàn)所有被黑客攻擊或控制的資產(chǎn)。攻擊者還喜歡利用遺留代碼中的漏洞。當(dāng)開發(fā)人員重新使用已經(jīng)流通了數(shù)十年的代碼時，他們可能會無意間繼承其技術(shù)債，其中包括安全漏洞和缺陷。

3. 龐大的需求需要彈性擴(kuò)展能力應(yīng)對

大多數(shù)公司不再遵循固定的發(fā)布周期。取而代之的是，持續(xù)集成和持續(xù)交付(CI/CD)已成為企業(yè)保持競爭力和滿足客戶需求的基本要求。并且這些持續(xù)發(fā)布的每一個版本功能都會帶來不同級別的技術(shù)風(fēng)險和業(yè)務(wù)影響，應(yīng)用程序安全的編碼必須能夠協(xié)調(diào)和解決。

4. 立即對變化進(jìn)行響應(yīng)

企業(yè)不僅需要處理大量頻率不同的應(yīng)用程序發(fā)布計劃，也要顧及業(yè)務(wù)的快速發(fā)展。安全團(tuán)隊需要保持同步。如果沒有一個完整的應(yīng)用程序安全團(tuán)隊，但是業(yè)務(wù)需求激增，那企業(yè)只能很倉促地測試并清理代碼。或者更糟的是，企業(yè)只能在軟件發(fā)布后打補(bǔ)丁。

5. 單一的測試工具不能發(fā)現(xiàn)所有漏洞

每種安全測試工具都有不同的優(yōu)勢，沒有哪一款工具可以捕獲一切漏洞。如果預(yù)算和資源限制，企業(yè)只能使用一個或兩個安全測試工具，那就可能會錯過關(guān)鍵漏洞。而且，如果沒有能力復(fù)現(xiàn)和確認(rèn)問題，企業(yè)可能會在誤報上花費(fèi)大量時間。

6. 僅靠工具不足以確保安全

應(yīng)用程序面臨的安全狀況不斷變化。新的威脅和攻擊大量涌現(xiàn)，而且新的法規(guī)提高了合規(guī)性要求。企業(yè)的軟件測試和預(yù)防策略需要跟上這些變化。

面對以上軟件安全挑戰(zhàn)，企業(yè)可以做些什么?

部署軟件安全計劃不是一件簡單的事情，有些企業(yè)會望而卻步。幸運(yùn)的是，還是有許多方法可以克服這些應(yīng)用程序安全挑戰(zhàn)。

比如，托管服務(wù)可以減輕安全負(fù)擔(dān)，憑借按需提供的安全測試專業(yè)知識，識別業(yè)務(wù)重大漏洞，降低信息泄露風(fēng)險。托管服務(wù)可以填補(bǔ)企業(yè)的安全資源缺口，根據(jù)當(dāng)下需要選擇所需的測試，包括動態(tài)應(yīng)用安全測試、靜態(tài)應(yīng)用安全測試、滲透測試、移動應(yīng)用安全測試以及托管網(wǎng)絡(luò)安全測試等。

確保軟件安全任重道遠(yuǎn)，無論是購買工具進(jìn)行檢測還是使用專業(yè)的托管服務(wù)，新思科技都建議企業(yè)在軟件創(chuàng)建之初做好防護(hù)，做到安全“左移”，并貫穿在整個軟件開發(fā)生命周期。