文档章节

应用安全的重要性!再怎么强调都不过分的5大理由

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/03/18 18:30
字数 1538
阅读 52
收藏 0

本文作者 John Montesi 是 B2B 及 SaaS 行业专家,喜欢用可爱的语言解释复杂的概念。他相信内容营销是大势所趋,有时也相信鬼故事,虽然拿不出什么证明。

在当今的商业领域,应用安全的重要性已经成为影响公司品牌感知,甚至盈亏的首要因素。然而,不知为何,尽管数字化领域呈现指数型增长,安全协议却很少回应云或其他软件环境中存储的重要信息量。

在近期一篇名为《为什么应用安全是商业准则》的白皮书中,IDG 与 Veracode 强调了应用安全(AppSec)对于企业安全格局如此重要的五大原因:

1. 公司合并导致漏网之鱼

去年,公司合并数量达到七年来的峰值,这既是企业合作的一种方式,也代表了企业们奋力突出重围的勃勃雄心。然而,激动之余,有一个重要的细节却常常被人们忽略。白皮书中指出,典型的市值 5 亿美元(或以上)的企业,开发了近 3100 款应用,占其总体应用框架的 40% 。如此规模的两三个企业如果合并,很可能会有数百款应用漏掉检查,产生安全裂缝。如果你无法找到这些安全漏洞,又谈何修复它呢?因此,全局的应用安全必须考虑所有应用。

###2. 这是一场数字游戏 这是一个老掉牙的悲伤故事:一些负责次要任务的次要应用导致了大规模的安全漏洞。即便是合并之前,许多公司通常会依赖数千款应用开展业务。如果其中有一个应用的安全措施不到位,专门的安全测试可能也无法查出来。其实,应用安全是一个“全或无”问题。现而今,生产环境中使用的应用数量如此庞大,还有数量更甚的黑客伺机牟利,作为应用供应商的你从来都不占优势。除非将应用安全视作企业的首要任务,否则,疏忽大意总是会导致漏洞。

###3. 名誉无价 执行主管们可能理解全局应用安全的重要性,却找不到合适的理由为安全投入辩护。目前,公司们平均投入 165 万美元维护 37% 的应用程序安全,若要覆盖所有应用,投入可能会提高三倍。然而,24% 的安全漏洞会造成至少 10 万美元的损失,而更有 7% 的安全漏洞会导致 1 千万美元以上的损失。可见,价值定位还是很有说服力的。如果顽固守旧的企业仍然选择减少应用安全支出,不认真考虑这些风险回报因素,那么他们至少应该知道,金钱损失仅仅是安全漏洞的直接影响。而由安全漏洞造成的长期名誉损害通常会放大,导致许多无形的损失与业务流失。

4. 时间就是一切

业务程序如果不是万无一失,就有可能遭受潜在攻击。尽管如此,开发人员却仍旧因循守旧,在开发内部应用时从不将安全因素纳入生命周期。除非公司文化对安全开发敞开怀抱,首席信息安全官 ( CISO ) 们就无法确保内部应用的安全。然而,开发人员常常面临着截止期限的压力,如果公司的安全预期模棱两可,跳过重要的测试环境,往往是节省开发时间的简便方法。

5. 客户偏爱移动应用

客户喜欢移动应用。因此,供应商往往投其所好。内部开发的应用程序往往在一年内就会增大 12%,而这些应用开发时所处的文化决定了它将来是成功还是灾难。安全开发实践,应该像高品质用户界面,潜在投资回报一样,成为应用预期的重要组成部分。然而,现实却是,供应商们以前所未有的速度创建越来越多的移动应用,如果这些应用不够安全,就等于给黑客开启了方便之门。

意识到应用安全的重要性只是降低不必要风险的第一步。考虑到新的内部应用开发模式以及猖獗的网络犯罪现状,忽视应用安全就和夜里睡觉不锁门一样,是违反直觉的行为。

Veracode 与 IDG 的白皮书中囊括了数十份行业报告,并重点论述了安全企业运维的重要趋势以及安全业务实践的需求。下载完整的白皮书可以学到更多内容,也千万不要错过 Veracode CISO 延伸工具包

原文地址:https://www.veracode.com/blog/2015/10/5-reasons-why-importance-application-security-cannot-be-overstated-sw

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
比特币和区块链真的有那么牛吗?(内含1000简书贝与重磅福利)

大家都知道区块链是比特币的底层,区块链的安全性经过多年的验证实践,导致现在基于区块链的项目是百花齐放。 毫无疑问,但凡涉及资金和资产,大家的第一需求是安全,其次是保值增值等等。人...

Carykive
01/25
0
0
精容数安参展2017第四届吉林省网络安全大会!

精容数安参展2017第四届吉林省网络安全大会! 12月28日,由吉林省工商联、吉林省科协主办,吉林省电子信息联合会、吉林省计算机行业商会、精容数安科技等联合承办的“2017吉林省网络安全大会...

精容数安
2018/01/02
0
0
Chrome Dev Summit 2017参会笔记

作者 | 高磊 编辑 | 尾尾 为期两天的 Chrome Dev Summit 2017 于 10月23日~24日在美国旧金山举办。由于我们近期和Google的合作较多,对Google的动作也比较关注,所以受邀参加了这次的Chrome ...

BrilliantOpenWeb
2017/10/27
0
0
扯了这么多年 网络安全到底啥时候才是万亿市场

当国家针对网络安全的种种布局和举措成为街谈巷议的话题,相关政策的层层加持就如同一颗石子投入水中,在我国安全市场荡起涟漪,引发了新一波创业潮。国内安全企业数量出现爆发增长,并覆盖数...

玄学酱
2018/04/16
0
0
支撑分布式 Scrum 团队的 5 项最佳实践

分布式 Scrum 从来都不是容易的事情。 Scrum 的基石--透明,开放,自组织-对于分布式团队实践来说很困难。沟通和合作不会是有机的,并且团队建设是更困难的。但是,对许多公司节约成本的影响...

慕容老K
2015/11/20
3.4K
4

没有更多内容

加载失败,请刷新页面

加载更多

springboot2.0 maven打包分离lib,resources

springboot将工程打包成jar包后,会出现获取classpath下的文件出现测试环境正常而生产环境文件找不到的问题,这是因为 1、在调试过程中,文件是真实存在于磁盘的某个目录。此时通过获取文件路...

陈俊凯
今天
7
0
BootStrap

一、BootStrap 简洁、直观、强悍的前端开发框架,让web开发更加迅速、简单 中文镜像网站:http://www.bootcss.com 用于开发响应式布局、移动设备优先的WEB项目 1、使用boot 创建文件夹,在文...

wytao1995
今天
10
0
小知识:讲述Linux命令别名与资源文件的区别

别名 别名是命令的快捷方式。为那些需要经常执行,但需要很长时间输入的长命令创建快捷方式很有用。语法是: alias ppp='ping www.baidu.com' 它们并不总是用来缩短长命令。重要的是,你将它...

老孟的Linux私房菜
今天
8
0
《JAVA核心知识》学习笔记(6. Spring 原理)-5

它是一个全面的、企业应用开发一站式的解决方案,贯穿表现层、业务层、持久层。但是 Spring 仍然可以和其他的框架无缝整合。 6.1.1. Spring 特点 6.1.1.1. 轻量级 6.1.1.2. 控制反转 6.1.1....

Shingfi
今天
8
0
Excel导入数据库数据+Excel导入网页数据【实时追踪】

1.Excel导入数据库数据:数据选项卡------>导入数据 2.Excel导入网页数据【实时追踪】:

东方墨天
今天
11
1

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部