笔者之前看过一篇文章写得很好,里面提及了会写程序的有很多人,但是会写安全程序却没有几个。
而如果在开发初期就将安全问题纳入规划,成本是***的!
在开发阶段就落实正确而安全的程序写法,是最彻底解决的办法!
当上线之后,才发现程序本身就不安全,那么可能为时已晚。
在你还没找到补破洞的方法之前,资料也许已经泄漏出去了!
面对新版的”个人资料保护法”势在必行,企业不得不正视Web应用程序的安全问题。然而,企业面临的难题在于,企业内部的安全人员大多是IT基础架构的成员,过去听到的”安全”话题,多是网管或系统管理组的负责领域。
关于应用程序面的安全,企业的了解相对而言很有限,而开发人员本身更不用说。我们一般会问”你会不会写程序”,少见询问”你会不会写‘安全的’程序”。
程序设计师在技能养成的过程中,就不曾接触过相关话题,据了解,直至今日的大专院校仍少见”安全的程序开发”相关课程。
再加上专案时程紧凑,能够准时、无误又符合需求地交付上线,就是很不容易的事情,因此”安全”更是无暇顾及的事情。现在资讯主管要求开发者写”安全的程序代码”,几乎是缘木求鱼。
弱点在开发早期解决,成本***
该怎么处理这样的问题?许多对安全敏感性较高的产业,早已选择渗透测试,请安全专家以黑客的手法检验网站的安全性。然而渗透测试费用不低,无法频繁地执行,一般而言,是一年1至2次,所以无法时时把关安全性。
因此,市面上也出现了”静态程序代码安全性检测”及”动态程序代码安全性检测”工具,希望帮助企业在安全意识不足的情况下,透过工具的自动化扫描,抓出安全性漏洞,并提供弱点解说与修正建议,进而学会处理的方式。
动态程序代码检测工具及渗透测试都是在模拟黑客的手法,尝试找到网站的弱点,并提供相关报告。这种作法比静态程序代码安全性检测全面,因为可以抓出操作系统、应用 服务器 的漏洞,及设定面问题。
不过,静态程序代码安全性扫描工具的强项在于,能地毯式地扫描程序代码、抓出不安全的写法,并提供修正建议,是从根源就做好防护的安全性作法。
毕竟软件上线后才发现问题,再去解决的成本是开发阶段的100倍。
OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美国年会上,开宗明义说道:”很多单位把大部分的安全预算花在‘黑(Hacking)’,也就是做渗透测试跟扫描。这没什么错,这些工作是重要的,但是我们没办法把自己‘黑’得更安全。”
在开发阶段就落实正确而安全的程序写法,是最彻底的解决办法。若再搭配渗透试,可进一步验证成效。
【编辑推荐】
什么是office文档
Office文档一般特指Microsoft Office 办公软件系列生成及使用的以doc、xls、docx...等后缀结束的文件。 以Office2007版本为例,整个系列软件主要包括:Word 2007是Office应用程序中的字处理程序,也是应用较为广泛的办公组件之一。 主要是用来进行文本的输入、编辑、排版、打印等工作。 Excel 2007是Office应用程序中的电子表格处理程序,也是应用较为广泛的办公组件之一,主要是用来进行有繁重计算任务的预算、财务、数据汇总、图表制作、透视图的制作等工作。 PowerPoint 2007是Office应用程序中的演示文稿程序,可用于单独或者联机创建演示文稿,主要用来制作演示文稿和幻灯片及投影等。 Outlook 2007是Office应用程序中的一个信息管理应用程序,提供了一个统一的位置来管理电子邮件、日历、联系人和其他个人和项目组信息。 Access 2007是Office应用程序中的数据库管理程序,主要拥有用户界面、逻辑和流程处理,可以存储数据。 InfoPath 2007是Office应用程序中的一款新产品,它是一种信息收集程序,使得在整个公司内收集和重用信息更加容易。 由于数据被捕捉在分散于整个公司的文档或数据库内,因此主要决策通常没有正确的数据,无法做出最明智的决定。 InfoPath 2007可以帮助解决这些问题。 Publisher 2007是Office 应用程序中完整的企业发布和营销材料解决方案。 与客户保持联络并进行沟通对任何企业都非常重要,Publisher 2007可以快速有效地创建专业的营销材料。 有了它,可以在企业内部比以往更轻松地设计、创建和发布专业的营销和沟通材料。 以上应用程序生成和使用的文件就统称Office文档
软件开发专业是什么?
软件开发专业属于计算机领域,该专业涉及自然科学基础知识,计算机科学与技术理论、计算机软硬件系统及应用知识等多方面,要求学生具有良好的人文、科学素养,具备本专业领域分析问题、解决问题的能力。
win7和xp的最大区别在哪
WINDOWS 7 的设计主要围绕五个重点- 针对笔记本电脑的特有设计;基于应用服务的设计;用户的个性化;视听娱乐的优化;用户易用性的新引擎。 windows 7 启动时的画面更易用Windows 7做了许多方便用户的设计,如快速最大化,窗口半屏显示,跳跃列表,系统故障快速修复等,这些新功能令Windows 7成为最易用的Windows。 更快速Windows 7大幅缩减了Windows 的启动速度,据实测,在2008年的中低端配置下运行,系统加载时间一般不超过20秒,这比Windows Vista的40余秒相比,是一个很大的进步。 更简单Windows 7将会让搜索和使用信息更加简单,包括本地、网络和互联网搜索功能,直观的用户体验将更加高级,还会整合自动化应用程序提交和交叉程序数据透明性。 更安全Windows 7桌面和开始菜单Windows 7包括了改进了的安全和功能合法性,还会把数据保护和管理扩展到外围设备。 Windows 7改进了基于角色的计算方案和用户账户管理,在数据保护和坚固协作的固有冲突之间搭建沟通桥梁,同时也会开启企业级的数据保护和权限许可。 更低的成本Windows7可以帮助企业优化它们的桌面基础设施,具有无缝操作系统、应用程序和数据移植功能,并简化PC供应和升级,进一步朝完整的应用程序更新和补丁方面努力。 更好的连接Windows7进一步增强了移动工作能力,无论何时、何地、任何设备都能访问数据和应用程序,开启坚固的特别协作体验,无线连接、管理和安全功能会进一步扩展。 令性能和当前功能以及新兴移动硬件得到优化,拓展了多设备同步、管理和数据保护功能。 最后,Windows7会带来灵活计算基础设施,包括胖、瘦、网络中心模型。 Windows 7是 Vista 的“小更新大变革”微软已经宣称 Windows 7 将使用与 Vista 相同的驱动模型,即基本不会出现类似 XP 至 Vista 的兼容问题。 能在系统中运行免费合法XP系统微软新一代的虚拟技术——Windows virtual PC,程序中自带一份Windows XP的合法授权,只要处理器支持硬件虚拟化,就可以在虚拟机中自由运行只适合于XP的应用程序,并且即使虚拟系统崩溃,处理起来也很方便。 更人性化的UAC(用户账户控制)Vista的UAC可谓令Vista用户饱受煎熬,但在Windows 7中,UAC控制级增到了四个,通过这样来控制UAC的严格程度,令UAC安全又不繁琐。 更好的WinFS winFS 是一种新的文件系统格式。 为迎接这场完美技术风暴的到来,Microsoft 在构建下一代 Windows 文件系统(代号为 WinFS)方面投入了大量的精力。 WinFS 产品小组在革新 Windows 文件系统的过程中遵循以下三个核心原则:使用户能够“查找”、“关联”和“操作”他们的信息。 能用手亲自摸上一把的WindowsWindows 7 原生包括了触摸功能 ,但这取决于硬件生产商是否推出触摸产品。 系统支持10点触控,这说明Windows 不再是只能通过键盘和鼠标才能接触的操作系统了。 只预装基本应用软件,其他的网上找Windows 7只预装基本的软件——例如Windows Madia Player、写字板、记事本、照片查看器等。 而其它的例如Movie Maker、照片库等程序,微软为缩短开发周期,不再包括于内。 用户可以上Windows Live的官方网站,自由选择Windows Live的免费软件。 迄今为止最华丽但最节能的Windows
发表评论