安全问题系列一｜每个开发人员必须问的五个安全问题

关于安全防护，我们将有两个系列，这是安全系列的第一个内容，如阅读第二个内容，请注意以后的推送。

开发团队在互联网应用的安全方面发挥着至关重要的作用。虽然不利因素是开发团队面临的最重要的威胁，但它们也面临着平衡业务、项目和安全利益的重大内部挑战。

这里提出了五个安全问题，卖方可以提高对应用安全需求的认识，降低网络应用安全事件给企业带来的业务风险。

@ 应用程序代码中的漏洞如何识别和修复？

动态和静态应用安全测试工具有助于在网络应用中发现漏洞。DAST和SAST工具以不同的工作方式帮助发现运行中的弱点：DAST试图攻击网络应用程序（如跨站脚本），而SAST工具在源代码中寻找不安全操作（如未初始化变量）。持续集成/持续部署（CI/CD）这两种工具在管道中的使用有助于在软件开发过程中发现缺陷，然后进入生产模式。

一些源代码控制存储库可以与CI实践集成，并在每次更改时进行安全扫描。存储库可能要求CI实践执行SAST，并将其作为每个更改请求的一部分。如果扫描报告中发现安全问题，存储库可能会阻止更改请求的批准。手动或自动执行这些扫描的团队可以大大降低他们的安全风险。同样，CD可以在部署新代码时进行DAST扫描。

扫描可能会产生许多结果。即使在漏洞管理系统的帮助下，也需要时间来评估和确定它们的优先级。网络应用防火墙（WAF）在团队确定漏洞优先级和修复应用功能时，立即采取行动。

此外，WAF保护的网络应用程序运行DAST扫描可以进一步改善程序的整体安全状况。安全团队将识别WAF未能阻止的任何攻击，以便进一步微调。如果WAF中包含的规则不能缓解DAST扫描中发现的威胁，则可以编写和部署自定义的WAF规则来处理特定的威胁。开发团队不再需要等待安全补丁或即将到来的攻击来减少这些威胁。

(图片来源:Edgio）

>现在预约1:1专家诊断" target="_blank" rel="nofollow">>现在预约1:1专家诊断

@ 技术堆栈中的漏洞如何识别和修复？

现代网络应用技术堆栈由前端框架、网络和数据库服务器、网络开发框架等多个组件组成。其中一些组件可以通过插件、扩展和附加组件进行扩展。每个应用程序安全程序应包括第三方组件清单、理解和应用关键安全补丁。然而，有时关键补丁不能应用于开发冲刺，而不改变应用程序代码。

软件补丁为企业提供了更多的时间来修复已知的安全漏洞。网络应用团队应定期测试和应用软件补丁（如每月或每次软件发布）。这可以减少漏洞的时间，并减少攻击者使用它的时间。缺陷存在的时间越长，恶意攻击者就越有可能使用它们。

WAF使开发团队能够立即修复以防止攻击，并为修复和更新应用程序代码提供喘息的机会。

虽然WAF在分级环境或QA环境中运行可以深入了解特定的WAF配置是否可以防止攻击，但它不能取代WAF在实际生产网络流量中运行的WAF。了解我们的双WAF模式功能，如何让安全团队在生产流量上测试新的WAF配置文件，防止新的威胁，将响应时间缩短到86%。

@ 如何执行应用程序更新过程？

基于旧技术堆栈的应用程序应更新或退休。如果技术堆栈没有得到维护，许多公司将无法修复旧的应用程序代码。可能需要临时解决方案来平衡安全和业务需求。运行全面的DAST扫描和精心调整的WAF，必要时使用适当的自定义规则，以便您能够安全地运行WEB应用程序，直到它们升级或退休。

@ 安全事件对服务器容量有什么影响？

平衡服务器容量和云计算成本是客户体验和业务需求之间的平衡。然而，分配服务器容量来容纳非法用户并不是最好的方法。

尽管仍有大规模DDOS攻击的威胁，但在1 GBPS范围内的攻击更为常见。这些高要求的安全事件，以及使用你的网络应用程序的自动扫描或爬虫，可能不会成为新闻，但会影响你的客户在你的网站上的体验。

在影响您的网络应用之前，使用基于云的WAF可以过滤掉这些不良流量，并为实际用户保留服务器容量。

(图片来源:Edgio）

>>立刻免费网速预约&安全诊断

@ 有哪些合规要求需要遵守？

根据您的行业和应用类型，您的应用程序可能需要符合行业法规。如果你的网站处理信用卡支付，它可能必须符合PCI标准。由于您的应用程序使用和保留的数据是敏感的，您的公司可能需要满足SOC要求 2类型。WAF在许多行业法规中都需要使用。即使没有适用的行业法规，你也可能要考虑遵循行业的最佳实践和标准。您可以使用互联网安全控制中心或AWSWellll-Architected Framework。两者都建议使用WAF，因为它可以检查和过滤恶意的网络流量。

为了平衡安全、工程和商业利益，保护您的网络应用程序是一项重要任务。有时，这些利益会发生冲突，使开发人员难以采取行动。

当开发团队优先考虑威胁并将修复措施执行到您的CI/CD管道时，WAF有助于缩小这一差距。我们强大的WAF洞察力和成本效益降低了使用WAF的门槛。

请与我们联系，以获得所有关于加强网络安全和WAF洞察力的问题的答案。

(图片来源:Edgio）

Edgio（NASDAQ：EGIO）它是边缘软件解决方案提供商，通过无缝集成内容交付、应用和流媒体平台，提供无与伦比的安全数字体验。全球技术和专家服务赋予全球品牌权力，涵盖教育、娱乐、现场现场和各种应用，为每个用户提供快速、动态、流畅的数字体验。Edgio致力于提供无与伦比的客户服务，并在每一步扩大其价值，推动全球约20%的互联网流量，为流行节目、电影、体育、游戏、音乐和即时加载网站提供强有力的支持服务。

>>填写申请，预约丝滑网速体验

(编辑:江同)

开场白 立刻