安全問題系列一｜每位開發者必問的五個安全問題

（圖片來源：圖蟲創意）

【編者按】關于安全防護的問題，我們將有兩期系列內容，這是安全系列的第一期內容，如閱讀第二期內容，請關注后期推送。

開發團隊在互聯網應用的安全方面扮演著至關重要的角色。雖然不良因素是開發團隊遇到的最重要的威脅，但他們也面臨著重大內部挑戰，即在平衡業務、工程和安全利益的同時，實施安全修復。

這里提出了五大安全問題，賣家可以提高對應用安全需求的認識，降低網絡應用安全事件給企業帶來的業務風險。

一、如何識別和修復應用程序代碼中的漏洞？

動態和靜態應用安全測試工具有助于發現網絡應用中的漏洞。DAST和SAST工具分別以不同的工作方式幫助尋找運行時的弱點：DAST試圖對網絡應用程序進行攻擊（如跨站腳本），而SAST工具則尋找源代碼中的不安全操作（如未初始化的變量）。在持續集成/持續部署（CI/CD）管道中使用這兩種工具，有助于在軟件開發過程中發現缺陷，然后再進入生產模式。

一些源碼控制存儲庫可以與CI實踐集成，在每次更改時運行安全掃描。存儲庫可能要求CI實踐執行SAST，并作為每個變更請求的一部分。如果掃描報告發現安全問題，存儲庫可能會阻止變更請求的批準。手動或自動執行這些掃描的團隊可以大大減少他們的安全風險。同樣地，CD可以在部署新代碼時運行DAST掃描。

掃描可能產生許多結果。即使在漏洞管理系統的幫助下，也需要時間來評估和確定它們的優先次序。網絡應用程序防火墻（WAF）使您能夠在團隊確定漏洞優先級并對修復應用功能時立即采取行動。

此外，對受WAF保護的網絡應用程序運行DAST掃描，可以進一步改善該程序的整體安全態勢。WAF未能阻止的任何攻擊都將被安全團隊識別出來，以便進一步進行微調。如果WAF包含的規則不能緩解DAST掃描發現的威脅，還可以編寫和部署一個自定義的WAF規則來處理特定的威脅。開發團隊不再需要等待安全補丁或即將發生的攻擊來減輕這些威脅。

（圖片來源：Edgio）

>>現在預約1:1專家診斷

二、如何識別和修復技術堆棧中的漏洞？

現代網絡應用技術堆棧由許多組件組成，如前端框架、網絡和數據庫服務器以及網絡開發框架。其中一些組件可通過插件、擴展和附加組件進行擴展。每個應用安全程序都應該包括第三方組件的清單以及理解和應用關鍵安全補丁。然而，關鍵的補丁有時并不能在不改變應用程序代碼的情況下應用，需要進行開發沖刺。

軟件補丁為企業提供了更多的時間來修復已知的安全漏洞。網絡應用團隊應定期測試和應用軟件補?。ㄈ缑吭禄蛎慨斢熊浖l布時）。這樣做可以減少漏洞存在的時間，并減少攻擊者利用它的時間。缺陷存在的時間越長，惡意攻擊者利用它們的可能性就越大。

WAF使開發團隊能夠立即進行修復以防止攻擊，同時為修補和更新應用程序代碼提供喘息的機會。

雖然在分級環境或QA環境中運行WAF可以深入了解特定的WAF配置是否能防止攻擊，但不能替代針對實際生產網絡流量運行WAF。了解我們的雙WAF模式功能，如何使安全團隊在生產流量上測試新的WAF配置文件，阻止新出現的威脅，并將響應時間縮減到86%。

三、應用程序更新過程是怎樣執行的？

基于舊技術堆棧上的應用程序應該被更新或退役。如果技術堆棧沒有得到維護，許多公司就不能再修復舊的應用程序代碼。平衡安全與業務的需求，可能需要一個臨時解決方案。運行一個全面的DAST掃描和一個精心調整的WAF，并在需要時使用適當的自定義規則，使您能夠安全地運行Web應用程序，直到它們被升級或退役。

四、安全事件對服務器容量的影響是什么？

平衡服務器容量和云計算成本是客戶體驗和業務需求之間的一個權衡。然而，分配服務器容量來容納非法用戶并不是最好的方法。

盡管仍然存在大規模DDoS攻擊的威脅，但在1 Gbps范圍內的攻擊更為常見。這些高要求的安全事件，以及使用您的網絡應用程序的自動掃描或爬蟲，可能不會成為新聞，但會影響您的客戶在您的網站上的體驗。

利用基于云的WAF可以將這些不良流量在影響您的網絡應用之前過濾掉它們，為實際用戶保留服務器容量。

（圖片來源：Edgio）

>>立刻預約免費網速&安全診斷

五、有哪些需要遵守的合規要求？

根據您的行業和應用類型，您的應用可能需要符合行業法規。如果您的網站處理信用卡支付，那么它可能必須符合PCI標準。因為您的應用程序使用和保留的數據具有敏感性，您的公司可能需要符合SOC 2類型。許多這些行業法規都需要使用WAF。即使沒有適用的行業法規，您可能要考慮遵循行業的最佳實踐和準則。您可以使用互聯網安全控制中心或AWS的Well-Architected Framework。這兩者都建議使用WAF，因為它可以檢查和過濾惡意的網絡流量。

保護您的網絡應用是一項重要的任務，需要平衡安全、工程和商業利益。有時，這些利益會發生沖突，使開發人員很難采取行動。

開發團隊對威脅進行優先排序，并將修復措施執行到您的CI/CD管道時，WAF可以幫助縮小這一差距。我們強大的、具有成本效益的WAF洞察力降低了采用WAF的門檻。

請聯系我們，以獲得關于加強網絡安全和我們的WAF洞察力的所有問題的答案。

（圖片來源：Edgio）

Edgio（NASDAQ：EGIO）是邊緣軟件解決方案提供商，通過對內容交付、應用和流媒體平臺的無縫集成，提供無與倫比的安全數字體驗。全球規模的技術和專家服務為全球品牌賦能，覆蓋教育、娛樂、現場實況及各種應用，為每一位用戶提供迅捷、動態和流暢的數字體驗。Edgio致力于提供無與倫比的客戶服務，并在每一步都擴展價值，驅動了全球約20%的互聯網流量，為受歡迎的節目、電影、體育、游戲、音樂以及即時加載網站提供強大的支持服務。

>>填寫申請，預約絲滑網速體驗

（編輯：江同）

（來源：limelight）

以上內容僅代表作者本人觀點，不代表雨果跨境立場！如有關于作品內容、版權或其它問題請于作品發表后的30日內與雨果跨境取得聯系。