什么是应用程序安全性?保护软件的过程和工具有哪些?

 应用程序安全是指通过查找、修复和增强应用程序的安全性来提高应用程序安全性的过程。

这大部分发生在开发阶段,但是它包括了工具和方法来保护应用程序一旦被部署。随着黑客越来越多地针对应用程序进行攻击,这一点变得越来越重要。


应用程序安全性越来越受到关注。有数百种工具可用于保护应用程序组合的各种元素,从锁定编码更改到评估无意的编码威胁、评估加密选项和审计权限和访问权限。

移动应用程序、基于网络的应用程序以及专门为web应用程序设计的防火墙都有专门的工具。

为什么应用程序安全性很重要

根据Veracode的《软件安全状态第10卷》报告,在它测试的85,000个应用程序中,83%至少有一个安全缺陷。

他们的研究发现,许多应用程序有更多的缺陷,总共有1000万个,20%的应用程序至少有一个严重缺陷。


并非所有这些漏洞都存在重大的安全风险,但其数量之多令人担忧。例如,一个常见的编码错误可能允许未经验证的输入。然后如果黑客发现了数据泄,这个错误可以转化为SQL注入攻击。

集成到应用程序开发环境中的应用程序安全工具可以使这个过程和工作流更简单、更有效。


如果您正在进行遵从性审计,这些工具也很有用,因为它们可以在审计人员发现问题之前捕获问题,从而节省时间和费用。

相反,我们有了新的工作方法,称为持续部署和集成,每天优化一个应用程序,有时甚至每小时优化一次。这意味着安全工具必须在这个不断变化的世界中工作,并快速发现代码中的问题。


这些类别中的许多仍处于发展阶段,使用的是相对较新的产品。这表明,随着威胁变得越来越复杂、越来越难以发现、对您的网络、数据和企业声誉的潜在损害越来越大,市场正在迅速演变。

应用程序安全工具

Gartner将安全测试工具分为几个大类,它们对你决定需要什么来保护你的应用程序组合有一定的帮助:

静态测试,在开发过程中在固定的点上分析代码。这有助于开发人员在编写代码时检查代码,以确保在开发期间引入了安全问题。


动态测试,分析运行代码。这更有用,因为它可以模拟对生产系统的攻击,并揭示使用系统组合的更复杂的攻击模式。

交互式测试,它结合了静态和动态测试的元素。

移动测试是专门为移动环境设计的,可以检查攻击者如何利用移动操作系统和在其上运行的应用程序。


查看测试工具的另一种方式是它们是如何交付的,可以通过一个本地工具,也可以通过一个基于saas的订阅服务,在该服务中您可以提交代码进行在线分析。

一个警告是每个测试供应商支持的编程语言。一些人将他们的工具限制在一两种语言之内。(Java通常是一个安全的选择。)其他人则更多地参与了Microsoft . net领域。

集成开发环境(ide)也是如此:一些工具作为这些ide的插件或扩展来操作,因此测试代码就像单击按钮一样简单。


另一个问题是,任何工具是与其他测试结果隔离的,还是可以将它们合并到自己的分析中。

我们不要忘记应用屏蔽工具。这些工具的主要目标是加强应用程序,使攻击更难执行。这是一个很少有人涉足的领域。

在这里,你会发现大量的小众产品,在很多情况下,它们的历史和客户群都很有限。这些产品的目标不仅仅是测试漏洞,并积极防止应用程序的破坏或妥协。

它们包括几个不同的广泛类别:

运行时应用程序自我保护(RASP):这些工具可以被认为是测试和屏蔽的组合。它们提供了一种针对可能的逆向工程攻击的保护措施。


RASP工具一直在监控应用程序的行为,这在移动环境中尤其有用,因为应用程序可以被重写,RASP工具可以发送警报、终止错误的进程,或者在发现应用程序被破坏时终止应用程序本身。

代码混淆:黑客经常使用混淆方法来隐藏他们的恶意软件,现在工具允许开发人员这样做,以帮助保护他们的代码免受攻击。

加密和防篡改工具:这些是可以用来防止坏人洞悉你的代码的其他方法。


威胁检测工具:这些工具检查应用程序运行的环境或网络,并对潜在的威胁和滥用的信任关系进行评估。一些工具可以提供设备“指纹”,以确定移动电话是否已经扎根或以其他方式受到危害。

应用程序安全挑战

部分问题是,它必须满足几个不同的主人,以确保他们的应用程序。它们首先必须跟上不断发展的安全和应用程序开发工具市场,但这只是入门点。Veracode的报告显示,最常见的缺陷类型有:

信息泄漏(64%)

密码问题(62%)

CRLF注入(61%)

代码质量(56%)

输入验证不足(48%)

跨站点脚本(47%)

目录遍历(46%)

凭证管理(45%)


(百分比表示在被测试的应用程序中的流行程度。)自从10年前Veracode开始跟踪这些缺陷以来,上述所有缺陷的发生率都有所上升。

应用程序安全趋势

在2019年1月,Imperva发布了其2018年Web应用程序漏洞状态。总体结果是积极的。尽管web应用程序漏洞的数量继续增长,但增长正在放缓。

这主要是因为物联网漏洞的减少——2018年只有38个新漏洞,而2017年有112个。另一方面,API漏洞在2018年增加了24%,但还不到2017年56%增长率的一半。


根据Imperva报告,另一个出现更多漏洞的领域是内容管理系统,尤其是Wordpress。该平台报告的漏洞数量增加了30%。

该报告指出,尽管Drupal内容管理系统远不如Wordpress受欢迎,但它却因为两个漏洞而成为攻击者的目标:Drupalgeddon2 (CVE-2018-7600)和Drupalgeddon3 (CVE-2018-7602)。

两者都允许攻击连接到后端数据库,用恶意软件扫描并感染网络和客户端,或者挖掘加密货币。Imperva声称在2018年已经阻止了超过50万次使用这些漏洞的攻击。


Veracode研究发现的一个积极的趋势是,应用程序扫描在修复应用程序缺陷的速度和时间方面有很大的不同。整体修复率,尤其是严重缺陷的修复率正在改善。

整体修复率为56%,高于2018年的52%,最完整的缺陷修复率为75.7%。DevSecOps采用频繁扫描和测试软件的方法,可以缩短修复缺陷的时间。

每年被扫描12次或更少的应用程序的修复时间中值为68天,而每天扫描或更多的应用程序的平均修复时间降至19天。

声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!

精彩在后面


Hi,我是超级盾

超级盾能做到:防得住、用得起、接得快、玩得好、看得见、双向数据加密!

截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势

相关产品

评论