這篇文章關注開發人員在提高 Web 應用程序的安全性方面所應擔當的角色,並細述了 IBM® Rational® AppScan® Developer Edition 如何幫助他們做到這一點。Rational AppScan Developer Edition 是第一個在一個產品中提供所有的主要安全性分析技術(動態分析,靜態分析,運行時分析,以及字符串分析)的工具,也是首次將這些技術集成在一起(綜合分析)以發揮其巨大潛能。
最大的挑戰是,在當今的 Web 應用程序中這些缺陷都太常見。這樣的例子之一就是 Web 頁面的代碼中的一個安全漏洞,它可以允許一個在線銀行客戶看到其它客戶的數據。這些缺陷可以讓黑客在這個應用程序 的後臺數據庫上運行查詢程序,很可能替代這個 Web 服務器本身。Web 應用程序的安全問題非常緊急並且正構成威脅,它們主要由這個應用程序代碼中的安全故障導致產生的。
另一個挑戰是最新發現這些問題的成本。大多數機構將這個 Web 應用程序安全性問題的發現留給專注安全的小組來做,他們在這些應用程序生效之前進行測試。找到並修復這些問題,然後要求開發和質量保證測試的人員對最新代碼變更進行完整的迭代。這樣修復很常見的最簡單安全故障也會產生很高的成本。
此外,安全專家遠遠多於開發人員的數量。這些安全小組就會努力跟上新的以及變更的應用程序的節奏。這樣通常會導致只有十分緊急的應用程序纔會被測試。其它自檢的應用程序就很可能出問題,因爲在它們被執行之前並沒有進行安全性測試。
這種狀況已經變得越來越惡劣,因爲 Web 應用程序在絕大多數商業中扮演者越來越重要甚至是前所未有的重要角色。這種破壞和黑客的影響繼續在增長,然而安全性問題還沒有被當作這些 Web 應用程序開發過程的一部分。
要解決這個問題,要求這個 Web 應用程序開發中所有不同小組的參與,但主要是開發和質量保證小組。最後,潛在造成這些問題的原因是不安全編碼介入了 Web 應用程序的安全缺陷中。這篇文章集中強調開發人員的角色應該主要致力於這個問題的解決,以及 IBM® Rational® AppScan® Developer Edition 該如何使他們這樣做的具體細節。
  |
|
開發過程首先要測試和修正這些安全性問題,您的小組必須首先了解您的開發和安全性小組之間的差異。當今可利用的技術主要爲安全專家所使用,通常並沒有滿足開發的需求和用例。
表格 1提供了這些小組之間差別的一些例子。
表格 1. 角色和職責
| 安全小組 | 開發小組 |
| 安全是他們的主要工作。 | 交付軟件是他們的主要工作:安全是衆多職責之一。 |
| 他們帶着證明這些應用程序是安全的目標進行測試,因此會嘗試找出一個應用程序中所有的問題。 | 他們測試這些應用程序,都帶着儘早找出簡單問題的目的,而不是證實不安全性。他們不需要找出所有的問題。 |
| 如果有一個很難理解的問題,或者這個問題很可能會失敗地報告爲(一個假陽性的),他們通常將花一些時間來理解它,因爲它可能會導致一個安全風險。 | 如果一個問題很難理解,或者這個問題很可能會失敗地報告爲((一個假陽性的),他們將會忽略從而避免浪費時間。 |
| 他們利用所包含的充分的功能來處理完整應用程序。 | 他們不完全處理開發的應用程序。 |
| 他們測試大量不同應用程序的安全性問題:他們並不需要很好地理解每個應用程序。 | 他們測試一個(或者幾個)應用程序的許多不同問題:他們並不需要很好地理解安全性問題。 |
| 每次審覈通常都僅僅由一個(或者幾個)審覈人員完成的。 | 每個應用程序通常都是由多個(通常是許多)不同的開發人員進行開發的。 |
因爲這兩個小組是不同的,因此每個小組的產品設計也應該不同。正如 Rational AppScan Standard Edition 是爲安全審覈人員設計的,而 Rational AppScan Developer Edition 是爲開發人員設計的,並且要記住他們自己特殊的用例:
本文轉自IBM Developerworks中國