为Web应用程序确保安全需要搬掉这几大绊脚石

为了更好地了解最新的安全威胁和模式，韦里逊最近发布了《2019年数据泄露调查报告》（DBIR），报告基于来自全球86个国家的41686次已确认的安全事件和2013次数据泄密的实际数据。研究再次表明，Web应用程序攻击仍然是数据泄密最常见的攻击途径。

今年在一半以上与Web应用程序攻击有关的泄密中，攻击者使用了窃取的凭据（登录信息）。报告还显示，金融服务业、医疗保健业、教育服务业、零售业和制造业是最容易受到Web应用程序漏洞影响的几个行业。

韦里逊的年度报告整理的所有这些数据提醒各行各业的公司应重新评估应用程序安全实践方面的状况。虽然Global Market Insights的一份新报告表明应用程序安全市场将迎来快速增长，但许多公司在克服阻碍采用的内部挑战方面需要帮助。为了提供帮助，我们列出了阻止应用程序安全计划取得进展的一些最常见的绊脚石：

企业为软件确保安全所面临的几大绊脚石

•测试速度太慢：涉及手动流程的当前安全方法（比如渗透测试或手动代码审查）过于缓慢，无法扩展以满足公司的所有要求。

•相互脱节的团队：由于开发团队缺乏安全知识，安全团队又缺乏修复漏洞的开发专长，安全团队和开发团队常常不合拍。

•技术没有为安全构建：架构、开发和框架等方面的决策通常在未考虑安全的情况下做出，这样一来事后很难添加安全机制。

•误报：企业组织寻找漏洞时常常遇到很高的误报率和漏报率，因而导致解决那些漏洞所需的支持成本很高。

•成本：对许多企业组织来说，为越来越多的软件应用程序确保安全已变得成本过高。对漏洞缺乏深入了解使得企业几乎不可能确定真正的成本，管理多家安全提供商时成本也会变得复杂。

由于上述任何一块绊脚石，企业组织常常会放弃安全的应用程序开发，也不会采取措施来管理应对今天的应用程序安全风险需要分配的人员、预算和时间。但若没有实施适当的安全措施和技术，企业组织就会遇到一大堆问题，包括：

•发布延迟和风险增加：应用程序发布延迟常常伴随着安全漏洞很晚才发现，或者发布的版本含有已知风险，导致客户面临风险。

•士气下挫：由于软件发布周期延迟，安全团队可能被视为开发者发布计划的障碍。

•声誉受损：安全泄密期间，可能面临品牌、股东价值和客户信心受损带来的成本及法律成本。

结合自动化、人工智能技术和人类智慧的应用程序安全方面的新方法可以带来更具成本效益、更准确的应用程序安全测试。整个软件生命周期（SLC）中集成和自动化的软件安全还意味着，可以更早地找到并修复更多的漏洞，这将为所有相关人员节省时间、钱财和资源。

这么做可以为软件安全投入降低风险，并以一种有条理、可扩展的方式降低重大泄密的可能性。除此之外，经过验证的漏洞可以消除误报，从而减少资源。对于开发部门而言，加强教育能让未来的项目有更安全的编程实践。