Web应用程序安全性:3课我们从f1™赛车

Web应用程序安全不仅仅是一个最佳实践——这是一个关键的安全计划的一部分。了解如何发现和测试您的web应用程序可以帮助你获得一个攻击者所不具备的优势。

Web应用程序一直扮演了一个关键角色,支持电子商务和关键业务计划。那么,为什么很多组织正在努力保持他们的安全?

最近,一个有争议的工具,称为PunkSpider(重新)声称它能抓取整个网络,识别可删节漏洞在网站和张贴公开让大家可以搜索结果。

如果其他人正在测试你的网站和你的web应用程序中,不该你知道他们知道吗?发现和测试web应用程序漏洞在其他人之前将帮助您减少停机时间,最大化收入和获得竞争优势的需要,确保商业成功。

f1™赛车可以教会我们什么web应用程序安全性

现在想象一下一级方程式汽车™web应用程序,您的开发人员是司机和你的安全团队坑船员。司机关心汽车的性能和速度而坑船员希望确保汽车是安全的,免费维护和漏洞。赛车表现良好时,整个团队不仅获得经济上还增加了粉丝。这些车一样,当一个公司的电子商务网站,它产生收入。但如果是受损或患有停机时间,公司失去金钱和声誉受到损害。

所以…从方程式赛车,我们能学到什么?

1:优先考虑能见度

可见性对f1团队的成功是至关重要的。F1车手连续无线电联系与他们的坑船员看清整个种族,包括跟踪条件下,转过身,角落,所有的汽车在跑道上。

web应用程序就像f1赛车——在一个快速和动态环境中运行。不幸的是,你的安全团队往往没有意识到所有的网站和web应用程序正在开发的其他部分组织。例子包括未经授权的第三方web应用程序代表公司的员工使用,废弃的和过时的web应用程序可能造成安全漏洞。了解网络应用您的组织——无论是内部,开源或第三方开发——在保护它们是重要的第一步。

2:运行一个高效的坑船员

f1团队以团队合作,保持车辆运行安全、效率和能力在最佳性能水平。在比赛中,坑船员必须非常高效,加油汽车和轮胎改变平均不到三秒钟的时间。它是如此难以置信的令人印象深刻,它让你想知道为什么服务访问你的汽车经销商不可能有效。

同样,如果我们认为您的开发人员的司机,然后你的安全团队坑船员。开发人员希望web应用程序的性能和速度,常常关心额外的安全过程如何阻碍他们的web应用程序的灵活性。安全人员需要指导,启用和支持开发人员在他们的努力创建安全的代码。这是整个团队的目标,以确保web应用程序的性能和速度,同时保持良好的卫生和提高网络安全态势。

3:做热身的大腿上

实际的比赛前,司机热身或者形成一圈最后一看,热身轮胎,并确保汽车完全比赛准备好了。

赛车手变速;安全领导”左移位”。将你的DevOps的传统安全实践团队一个静态漏洞报告不再是可伸缩的在今天的动态商业环境。将早期web应用程序扫描工具集成到开发,测试,和/或QA阶段的软件开发生命周期(SDLC)类似于热身圈可以帮助早期暴露弱点,降低修复这些问题的成本,并限制潜在的损害赔偿由于妥协。据Gartner的数据,到2023年,超过70%的企业DevSecOps举措将把自动化的安全漏洞为开源组件和配置扫描和商业软件包,这是一个显著增加从2019年的不到30%。自动化安全扫描应用程序——投入生产前和每次代码更改,是推荐的最佳实践以提高安全性。

准备好了,,走吧!

现在你准备比赛,保持你的web应用程序安全、提高效率之间通过消除筒仓安全和DevOps团队和集成安全扫描到你的SDLC。

*来源:Gartner,”12事情适合DevSecOps成功,”尼尔·麦克唐纳和戴尔加德纳,刷新2021年4月9日。

GARTNER的注册商标和服务标志GARTNER Inc .)和/或其附属公司在美国和国际上和本使用许可。保留所有权利。

了解更多

• 注册网络研讨会:三种方式我们可以改进Web应用安全:教训F1™赛车
• 读图:方程式赛车可以教会我们什么Web应用程序安全性