在2011年预测名单中,Denim集团应用程序安全专家预测软件开发团队开始将他们的重点转移到为软件即服务(SaaS)应用程序构建扩展,而不是从头开始编写定制软件。
在公司透明化运营中,尽管以消费者为导向的应用程序扩展也在增长,B2B企业供应商在应用程序扩展方面仍将占据主导地位。由此可以预见,这种转变将为开发者带来一系列自身的挑战,期待能够安全整合他们的创造性。
Denim集团首席技术官Dan Cornell表示:“安全整合SaaS应用程序的首要问题在于这些集成系统拥有比正常网页应用程序更复杂的威胁模式,而且自定义代码集成样式和SaaS服务没有规范和标准化,没有被很好的理解应用。这样会导致一种情况就是开发人员不清楚如何在自定义代码集成样式与SaaS服务规范之间安全地建立互操作联系。与此同时,由于特殊平台和相关性能的缺失,也给如何为开发者提供标准化指导带来挑战。
Forrester研究分析员Mike Gualtieri对eWEEK表示,在不可控制下的对SaaS组件的依赖也为企业带来了挑战。
他表示:“由于SaaS‘Franken-apps’带来的依赖性,企业变得越来越脆弱。如果你在一个组件中找到漏洞并且不能自己修复它,你现在可以向SaaS供应商寻求帮助来修复它。与此同时你该做什么呢?将应用程序申请下来吗?建筑师必须防范整个应用程序可能遭受的威胁模式,同时提供应用程序在运行期间的应变计划,以防系统表面漏洞的出现。
Cornell表示安全解决方案需要一系列的东西。比如,开发者需要从SaaS应用程序获得经过验证的数据来防止系统部分之间恶意攻击的传播。除此之外,那些输送SaaS供应商的数据需要及时编码,这里就涉及到一个验证的问题。
Cornell表示:“根据该系统的特征,我们必须使用指定的验证码才能通过SaaS供应商的验证。如果这些由用户提供,那适当的管理只需要他们在数据传输时对数据进行保护处理。尽管如此,如果通过SaaS供应商验证的验证码是个匿名账户,该账户的验证码必须存储在一个安全的方式里,同时在关闭情况下保持适当的记录,以确定哪些用户采取哪些行动。
Veracode首席技术官Chris Wysopal表示,一个过去的页面通过认证成为客户的SaaS应用程序的攻击者的前景意味着整个应用程序的功能是具有攻击面的。
Chirs Wysopal表示:“许多应用程序开发者淡化内部威胁和被保护的感觉,因为他们的网页应用程序有验证码,同时只有被授权的员工才能登录这些应用程序。随着多用户SaaS应用程序的发展,攻击者成为SaaS应用程序供应商的另外一种客户已经是司空见惯的事了。这增加对以云为基础的应用程序安全应用权力的需求。”
Wysopal表示,SaaS进一步的风险在于客户数据系统管理方面主要是由SaaS开发商和托管服务提供商来运行,这种运行模式使数据在休息和传输过程中建立数据保护程序变成一种必须步骤。良好的审计和记录也是有必要的。
Wysopal表示:“总而言之,威胁和攻击面在SaaS应用程序上大大增加了。这使得像数据保护,审计和双因素认证应用的安全功能更加成为必要。漏洞更多的暴露在多用户世界,因此安全编码,安全检测和第三方组件的审核都是必需的。”