导读:对于漏洞和攻击,高效的安全项目和团队不仅应当提供反应性的措施,而且还要积极地与内部的信息团队协作,构建“先发制人”的软件安全。信息系统和软件代码的有效安全项目往往依靠两种自动的安全测试:静态安全扫描测试和动态安全扫描测试。
静态 ......
对于漏洞和攻击,高效的安全项目和团队不仅应当提供反应性的措施,而且还要积极地与内部的信息团队协作,构建“先发制人”的软件安全。信息系统和软件代码的有效安全项目往往依靠两种自动的安全测试:静态安全扫描测试和动态安全扫描测试。
静态扫描一般在代码的开发期间进行。此过程借助威胁建模和分析,对静态代码进行扫描,从而发现安全漏洞。动态扫描是对工作环境中的实际代码进行的扫描,它在代码运行期间查找漏洞。还有第三类测试,即人工渗透测试,它主要通过白帽分析进行人为干预。真正有效的应用程序安全项目利用所有的安全扫描测试,其中静态安全和动态安全扫描要深入到应用程序的开发过程中,并在必要时使用人工渗透测试。
有效的自动代码扫描策略必须与IT的开发团队无缝对接。真正有效的自动安全项目的关键成功因素是,要求IT开发团队付出的额外工作达到最少。在应用程序的开发周期之外的代码扫描会占用开发时间,会被认为是额外的不受欢迎的任务。
企业在成功利用安全代码扫描项目时,面临的主要障碍是:
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
