Web應(yīng)用程序質(zhì)量評(píng)價(jià)/測(cè)試

用于測(cè)試應(yīng)用程序的具體安全工具范圍很廣，其中有可以評(píng)估完整應(yīng)用程序的獨(dú)立解決方案和服務(wù)，更有完全集成的套件,這種套件可以提供測(cè)試和對(duì)從教育到實(shí)施等多個(gè)階段的支持。集成的方案可以為那些對(duì)可重復(fù)的Web應(yīng)用程序的安全周期表現(xiàn)成熟的公司提供多個(gè)階段的支持。集成套件可以在進(jìn)程中的多個(gè)時(shí)點(diǎn)上實(shí)施，并可為持續(xù)的改善提供尺度和反饋。

那么，在質(zhì)量評(píng)價(jià)和測(cè)試階段，應(yīng)采取哪些集成安全和改善安全的步驟呢?

1、專注于發(fā)現(xiàn)某些資源的最重要問題。

2、在一個(gè)包括現(xiàn)有的補(bǔ)救控制(如防火墻和IPS)的應(yīng)用架構(gòu)中驗(yàn)證這些測(cè)試發(fā)現(xiàn)。

3、根據(jù)安全性和業(yè)務(wù)需要，區(qū)分所發(fā)現(xiàn)的漏洞的優(yōu)先次序。

4、對(duì)于代碼行或其所依賴的API、服務(wù)、庫(kù)等提出修復(fù)建議。

其好處也是顯而易見的：1、應(yīng)用程序開發(fā)人員之間可以更好地交流。2、似是而非的東西更少。3、修復(fù)周期更快。

Web應(yīng)用程序部署/投產(chǎn)

Web應(yīng)用程序的安全性并不會(huì)終止于應(yīng)用程序的部署階段。一旦Web應(yīng)用程序投產(chǎn)，還應(yīng)當(dāng)實(shí)施其它測(cè)試和監(jiān)視，用以確保數(shù)據(jù)和服務(wù)受到保護(hù)。實(shí)際的Web應(yīng)用程序的自動(dòng)安全監(jiān)視能夠確保應(yīng)用程序正在如所期望的那樣運(yùn)行，并且不會(huì)泄露信息從而造成風(fēng)險(xiǎn)。監(jiān)視可由內(nèi)部人員完成，也可外包給能夠全天候監(jiān)視應(yīng)用程序的外部供應(yīng)商。

在部署和投產(chǎn)階段集成和改善安全性的步驟：

1、監(jiān)視誤用情況，其目的是為了確定測(cè)試中所謂的“不會(huì)被利用的漏洞”在投產(chǎn)后真得不會(huì)被利用。

2、監(jiān)視數(shù)據(jù)泄露，其目的是為了查找被錯(cuò)誤地使用、發(fā)送或存儲(chǔ)的所有地方。

3、將部署前的風(fēng)險(xiǎn)評(píng)估與投產(chǎn)后的暴露范圍進(jìn)行比較，并向測(cè)試團(tuán)隊(duì)提供反饋。

4、實(shí)施Web應(yīng)用防火墻、IPS或其它的補(bǔ)救措施，其目的是為了減輕代碼修復(fù)之前的暴露程度，或是為了符合新的安全規(guī)范。

其好處有如下幾個(gè)方面：

1、改善能夠成功實(shí)施的漏洞利用的知識(shí)庫(kù)，從而改善在靜態(tài)和動(dòng)態(tài)測(cè)試期間的掃描效益。

2、發(fā)現(xiàn)并阻止應(yīng)用程序的誤用情況。

3、在動(dòng)態(tài)測(cè)試和投產(chǎn)中的應(yīng)用程序控制(如Web應(yīng)用防火墻或IPS)之間實(shí)現(xiàn)更好的集成。

4、滿足再次編寫代碼之前的合規(guī)需要。

5、使用反饋機(jī)制實(shí)現(xiàn)持續(xù)的改善。

Web應(yīng)用程序設(shè)計(jì)總結(jié)

Web應(yīng)用程序的安全保障未必意味著延長(zhǎng)開發(fā)周期。只要對(duì)所有開發(fā)人員進(jìn)行良好的教育，并采取清晰且可重復(fù)的構(gòu)建過程，企業(yè)就可以用一種高效而合作性的方式將安全和風(fēng)險(xiǎn)納入到開發(fā)過程中。將安全構(gòu)建到Web應(yīng)用程序的交付周期中確實(shí)需要一種合作性的方法，需要將人員、過程和技術(shù)集成到一起。

Web應(yīng)用程序安全工具和套件雖然有助于過程的改進(jìn)，但它們并非萬能藥。為獲得最大利益，應(yīng)當(dāng)考慮選擇能夠理解完整開發(fā)周期的Web應(yīng)用程序安全工具廠商，還要有能在開發(fā)過程的多個(gè)階段提供支持的工具。

【編輯推薦】

1. 惡意釣魚網(wǎng)站數(shù)量超百萬
2. 抵御Web威脅的十大方法
3. 如何確保 Web應(yīng)用安全
4. 防范網(wǎng)站掛馬：審計(jì)與監(jiān)測(cè)并重 續(xù)
5. 網(wǎng)站主機(jī)安全之系統(tǒng)與服務(wù)器安全管理
6. 如何在交付周期中保Web應(yīng)用程序安全性（1）
7. 如何在交付周期中保Web應(yīng)用程序安全性（2）
8. 如何在交付周期中保Web應(yīng)用程序安全性（3）