4種方法確保項(xiàng)目在交付之前是安全的。

科技的閃電速度讓人們期待近乎瞬間的結(jié)果。對(duì)于開發(fā)人員來說，這種期望的壓力可能會(huì)導(dǎo)致過早地發(fā)布最終產(chǎn)品。除了可能已經(jīng)解決的潛在bug之外，發(fā)貨過早可能會(huì)忽略重要的安全措施。

無論您是設(shè)計(jì)電子商務(wù)網(wǎng)站還是構(gòu)建軟件應(yīng)用程序，安全性都應(yīng)該是您的團(tuán)隊(duì)在每個(gè)項(xiàng)目開始時(shí)的主要關(guān)注點(diǎn)。如果沒有對(duì)安全性進(jìn)行詳細(xì)的關(guān)注，就會(huì)將最終用戶置于危險(xiǎn)之中。

安全性最好從項(xiàng)目的第一天就作為項(xiàng)目的一部分進(jìn)行開發(fā)。項(xiàng)目進(jìn)行得越久，實(shí)現(xiàn)安全性就越困難，如果您等待的時(shí)間太長(zhǎng)，就必須發(fā)布不安全的產(chǎn)品。

以下是如何確保項(xiàng)目在發(fā)布之前是安全的。

對(duì)所有事情使用更新的安全協(xié)議

根據(jù)您的項(xiàng)目有多大，您可能需要使用現(xiàn)有的框架來開始。確保應(yīng)用程序的每個(gè)方面都使用了更新的安全協(xié)議。如果您想使用不符合安全標(biāo)準(zhǔn)的第三方創(chuàng)建的框架或腳本，請(qǐng)修復(fù)它或?qū)ふ移渌鉀Q方案。

從一開始就對(duì)安全問題一絲不茍，避免將客戶置于脆弱的境地。你會(huì)驚訝于有多少次軟件應(yīng)用程序被大公司使用，結(jié)果卻充滿了漏洞。

擁抱SecOps

你聽說過DevOps，但是SecOps呢?當(dāng)開發(fā)人員意識(shí)到DevOps過程中沒有包含安全性時(shí)，就創(chuàng)建了SecOps。這個(gè)組合現(xiàn)在被稱為DevSecOps。

SecOps的目標(biāo)是在安全與行動(dòng)之間找到一個(gè)健康的中間地帶——當(dāng)發(fā)生沖突時(shí)，這就變得很困難。如果操作被安全限制扼殺，產(chǎn)品將永遠(yuǎn)無法發(fā)貨。然而，如果產(chǎn)品發(fā)貨太快，該公司可能會(huì)成為最新安全新聞?wù)娮余]件的笑柄。

如何在平穩(wěn)的操作和嚴(yán)格的安全性之間建立一個(gè)良好的平衡?White Source軟件提供了一些將SecOps集成到每個(gè)項(xiàng)目中的有用技巧。首先，建議每個(gè)人都擁有安全性。一旦每個(gè)人都接受了他們的角色，下一步是對(duì)整個(gè)團(tuán)隊(duì)進(jìn)行SecOps最佳實(shí)踐的培訓(xùn)，并鼓勵(lì)他們考慮如何將這些最佳實(shí)踐合并到他們的工作中。最后，擁抱自動(dòng)化測(cè)試，以抓住容易實(shí)現(xiàn)的成果，否則需要團(tuán)隊(duì)花費(fèi)幾個(gè)小時(shí)才能發(fā)現(xiàn)。

構(gòu)建所有的應(yīng)用程序，就像它們將被連接到網(wǎng)上一樣

有時(shí)你可能會(huì)遇到這樣的客戶，他們想要一個(gè)他們發(fā)誓永遠(yuǎn)不需要連接到互聯(lián)網(wǎng)的應(yīng)用程序?，F(xiàn)在可能是這樣，但不能保證他們的應(yīng)用程序在未來十年仍然是孤立的。

始終按照最高的安全性規(guī)范構(gòu)建每個(gè)項(xiàng)目，即使客戶端似乎不需要這種額外的安全性。例如，不應(yīng)該將數(shù)據(jù)存儲(chǔ)在未加密的數(shù)據(jù)庫中。未加密的數(shù)據(jù)總是存在安全風(fēng)險(xiǎn)。在一個(gè)孤立的環(huán)境中風(fēng)險(xiǎn)較低，但它仍然是一個(gè)風(fēng)險(xiǎn)。

多年來，許多孤立的環(huán)境都是在線的，其結(jié)果是增加了漏洞。例如，在2017年，在現(xiàn)已不存在的海事AmosConnect 8網(wǎng)絡(luò)平臺(tái)上發(fā)現(xiàn)了幾個(gè)漏洞。最初，這款軟件是單獨(dú)使用的，不能連接互聯(lián)網(wǎng)?，F(xiàn)在船員們通過互聯(lián)網(wǎng)操作，這艘船的老軟件很脆弱。可能最大的漏洞是數(shù)據(jù)庫以明文形式存儲(chǔ)登錄憑據(jù)。

不要因?yàn)榭蛻舳瞬淮蛩阕屗麄兊膽?yīng)用程序上線就跳過加密或任何其他安全協(xié)議。

承認(rèn)你的項(xiàng)目不是不可戰(zhàn)勝的

創(chuàng)建安全應(yīng)用程序的一部分是認(rèn)識(shí)到您創(chuàng)建的任何東西都不是不可戰(zhàn)勝的。不要對(duì)應(yīng)用程序的安全性過于自信，尤其是在您還沒有發(fā)布最終產(chǎn)品的情況下。

從這個(gè)角度來看，即使是世界頂級(jí)的軟件公司也有數(shù)百個(gè)漏洞。例如2016年，Android有523個(gè)漏洞，Ubuntu (Linux)有278個(gè)漏洞，Adobe Acrobat Reader Dc有227個(gè)漏洞。

當(dāng)您認(rèn)識(shí)到漏洞的不可避免性時(shí)，您就不會(huì)在任何階段發(fā)現(xiàn)bug時(shí)陷入防御的陷阱，即使是在發(fā)布之后。

安全需要努力工作

從項(xiàng)目一開始就考慮安全性需要很強(qiáng)的團(tuán)隊(duì)合作。為了避免操作和安全之間的沖突，讓整個(gè)團(tuán)隊(duì)掌握安全的所有權(quán)?？紤]到他們所做的一切都是安全的，將會(huì)有更少的頭部碰撞和發(fā)貨的產(chǎn)品將是安全的。