本文作者 john montesi 是 b2b 及 saas 行業專家,喜歡用可愛的語言解釋複雜的概念。他相信内容營銷是大勢所趨,有時也相信鬼故事,雖然拿不出什麼證明。
在當今的商業領域,應用安全的重要性已經成為影響公司品牌感覺,甚至盈虧的首要因素。然而,不知為何,盡管數字化領域呈現指數型增長,安全協定卻很少回應雲或其他軟體環境中存儲的重要資訊量。
在近期一篇名為《為什麼應用安全是商業準則》的白皮書中,idg 與 veracode 強調了應用安全(appsec)對于企業安全格局如此重要的五大原因:
去年,公司合并數量達到七年來的峰值,這既是企業合作的一種方式,也代表了企業們奮力突出重圍的勃勃雄心。然而,激動之餘,有一個重要的細節卻常常被人們忽略。白皮書中指出,典型的市值 5 億美元(或以上)的企業,開發了近 3100 款應用,占其總體應用架構的 40% 。如此規模的兩三個企業如果合并,很可能會有數百款應用漏掉檢查,産生安全裂縫。如果你無法找到這些安全漏洞,又談何修複它呢?是以,全局的應用安全必須考慮所有應用。
這是一個老掉牙的悲傷故事:一些負責次要任務的次要應用導緻了大規模的安全漏洞。即便是合并之前,許多公司通常會依賴數千款應用開展業務。如果其中有一個應用的安全措施不到位,專門的安全測試可能也無法查出來。其實,應用安全是一個“全或無”問題。現而今,生産環境中使用的應用數量如此龐大,還有數量更甚的黑客伺機牟利,作為應用供應商的你從來都不占優勢。除非将應用安全視作企業的首要任務,否則,疏忽大意總是會導緻漏洞。
執行主管們可能了解全局應用安全的重要性,卻找不到合适的理由為安全投入辯護。目前,公司們平均投入 165 萬美元維護 37% 的應用程式安全,若要覆寫所有應用,投入可能會提高三倍。然而,24% 的安全漏洞會造成至少 10 萬美元的損失,而更有 7% 的安全漏洞會導緻 1 千萬美元以上的損失。可見,價值定位還是很有說服力的。如果頑固守舊的企業仍然選擇減少應用安全支出,不認真考慮這些風險回報因素,那麼他們至少應該知道,金錢損失僅僅是安全漏洞的直接影響。而由安全漏洞造成的長期名譽損害通常會放大,導緻許多無形的損失與業務流失。
業務程式如果不是萬無一失,就有可能遭受潛在攻擊。盡管如此,開發人員卻仍舊因循守舊,在開發内部應用時從不将安全因素納入生命周期。除非公司文化對安全開發敞開懷抱,首席資訊安全官 ( ciso ) 們就無法確定内部應用的安全。然而,開發人員常常面臨着截止期限的壓力,如果公司的安全預期模棱兩可,跳過重要的測試環境,往往是節省開發時間的簡便方法。
客戶喜歡移動應用。是以,供應商往往投其所好。内部開發的應用程式往往在一年内就會增大 12%,而這些應用開發時所處的文化決定了它将來是成功還是災難。安全開發實踐,應該像高品質使用者界面,潛在投資回報一樣,成為應用預期的重要組成部分。然而,現實卻是,供應商們以前所未有的速度建立越來越多的移動應用,如果這些應用不夠安全,就等于給黑客開啟了友善之門。
意識到應用安全的重要性隻是降低不必要風險的第一步。考慮到新的内部應用開發模式以及猖獗的網絡犯罪現狀,忽視應用安全就和夜裡睡覺不鎖門一樣,是違反直覺的行為。
veracode 與 idg 的白皮書中囊括了數十份行業報告,并重點論述了安全企業運維的重要趨勢以及安全業務實踐的需求。下載下傳完整的白皮書可以學到更多内容,也千萬不要錯過 veracode ciso 延伸工具包。
原文位址:https://www.veracode.com/blog/2015/10/5-reasons-why-importance-application-security-cannot-be-overstated-sw
本文轉自 oneapm 官方部落格