[[268594]]

【51CTO.com快譯】近期，數(shù)據(jù)泄密似乎突然變得更普遍，并在全球各地帶來廣泛影響。在澳大利亞，澳大利亞信息專員辦公室（OAIC）透露，1000多萬人的信息在一次事件中泄露。在新加坡，數(shù)千名紅十字會獻血者的個人信息泄露。而在美國，另一次大規(guī)模云數(shù)據(jù)泄露事件泄露了8000萬家庭的個人數(shù)據(jù)。最近的一連串攻擊表明黑客在大舉攻擊高價值目標，這些只是其中幾個例子而已。

為了更好地了解最新的安全威脅和模式，韋里遜最近發(fā)布了《2019年數(shù)據(jù)泄露調(diào)查報告》（DBIR），報告基于來自全球86個國家的41686次已確認的安全事件和2013次數(shù)據(jù)泄密的實際數(shù)據(jù)。研究再次表明，Web應用程序攻擊仍然是數(shù)據(jù)泄密最常見的攻擊途徑。

今年在一半以上與Web應用程序攻擊有關的泄密中，攻擊者使用了竊取的憑據(jù)（登錄信息）。報告還顯示，金融服務業(yè)、醫(yī)療保健業(yè)、教育服務業(yè)、零售業(yè)和制造業(yè)是最容易受到Web應用程序漏洞影響的幾個行業(yè)。

韋里遜的年度報告整理的所有這些數(shù)據(jù)提醒各行各業(yè)的公司應重新評估應用程序安全實踐方面的狀況。雖然Global Market Insights的一份新報告表明應用程序安全市場將迎來快速增長，但許多公司在克服阻礙采用的內(nèi)部挑戰(zhàn)方面需要幫助。為了提供幫助，我們列出了阻止應用程序安全計劃取得進展的一些最常見的絆腳石：

企業(yè)為軟件確保安全所面臨的幾大絆腳石

•測試速度太慢：涉及手動流程的當前安全方法（比如滲透測試或手動代碼審查）過于緩慢，無法擴展以滿足公司的所有要求。

•相互脫節(jié)的團隊：由于開發(fā)團隊缺乏安全知識，安全團隊又缺乏修復漏洞的開發(fā)專長，安全團隊和開發(fā)團隊常常不合拍。

•技術沒有為安全構建：架構、開發(fā)和框架等方面的決策通常在未考慮安全的情況下做出，這樣一來事后很難添加安全機制。

•誤報：企業(yè)組織尋找漏洞時常常遇到很高的誤報率和漏報率，因而導致解決那些漏洞所需的支持成本很高。

•成本：對許多企業(yè)組織來說，為越來越多的軟件應用程序確保安全已變得成本過高。對漏洞缺乏深入了解使得企業(yè)幾乎不可能確定真正的成本，管理多家安全提供商時成本也會變得復雜。

由于上述任何一塊絆腳石，企業(yè)組織常常會放棄安全的應用程序開發(fā)，也不會采取措施來管理應對今天的應用程序安全風險需要分配的人員、預算和時間。但若沒有實施適當?shù)陌踩胧┖图夹g，企業(yè)組織就會遇到一大堆問題，包括：

•發(fā)布延遲和風險增加：應用程序發(fā)布延遲常常伴隨著安全漏洞很晚才發(fā)現(xiàn)，或者發(fā)布的版本含有已知風險，導致客戶面臨風險。

•士氣下挫：由于軟件發(fā)布周期延遲，安全團隊可能被視為開發(fā)者發(fā)布計劃的障礙。

•聲譽受損：安全泄密期間，可能面臨品牌、股東價值和客戶信心受損帶來的成本及法律成本。

結合自動化、人工智能技術和人類智慧的應用程序安全方面的新方法可以帶來更具成本效益、更準確的應用程序安全測試。整個軟件生命周期（SLC）中集成和自動化的軟件安全還意味著，可以更早地找到并修復更多的漏洞，這將為所有相關人員節(jié)省時間、錢財和資源。

這么做可以為軟件安全投入降低風險，并以一種有條理、可擴展的方式降低重大泄密的可能性。除此之外，經(jīng)過驗證的漏洞可以消除誤報，從而減少資源。對于開發(fā)部門而言，加強教育能讓未來的項目有更安全的編程實踐。

結論是，今天的企業(yè)界需要更快速、更準確的安全漏洞識別和修復，以提高安全支出的投資回報率。今天實施正確的技術將長期提高客戶的可信度和信任度。Web應用程序安全技術已深入人心，用于企業(yè)界很有必要。

原文標題：Top roadblocks to securing web applications，作者：Joseph Feiman

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】