最新欧美精品一区二区三区,在线天堂中文最新版,亚洲一,二,三区在线观看,制服丝袜另类专区制服,亚洲熟妇少妇任你躁在线观看无码

幾乎所有軟件都有一些安全風(fēng)險，無論是測試不足，忽略最佳實(shí)踐，使用具有已知漏洞的開源代碼，還是不良技術(shù)的任意組合。不幸的是，這些缺陷仍然存在，并且每天都在應(yīng)用程序和操作系統(tǒng)中以越來越高的頻率出現(xiàn)。

各地軟件專業(yè)人員的目標(biāo)是創(chuàng)建可靠、安全的軟件，以防止網(wǎng)絡(luò)犯罪分子的入侵、系統(tǒng)資源的低效使用、無意中訪問敏感數(shù)據(jù)或意外結(jié)果。每個利用的機(jī)會都可以并且將被急切等待機(jī)會的網(wǎng)絡(luò)犯罪分子所利用。了解最常見的漏洞，以及如何避免這些漏洞，從而獲得更安全的應(yīng)用程序。

什么是SDLC（軟件開發(fā)生命周期）？

軟件開發(fā)生命周期是一個行業(yè)標(biāo)準(zhǔn)流程，旨在以最低的成本安全、可重復(fù)地創(chuàng)建可靠、高質(zhì)量的軟件。它是一個結(jié)構(gòu)化的計劃，由一系列階段或具有可交付成果和驗(yàn)收標(biāo)準(zhǔn)的階段組成。該計劃旨在始終如一地遵守質(zhì)量和安全要求，同時滿足客戶期望，最大限度地降低風(fēng)險并縮短生產(chǎn)時間。

SDLC階段包括：

1. 需求分析
2. 規(guī)劃
3. 軟件設(shè)計，如建筑設(shè)計
4. 軟件開發(fā)
5. 測試
6. 部署

此標(biāo)準(zhǔn)化框架概述了每個階段所需的任務(wù)和可交付成果，并促進(jìn)了項(xiàng)目規(guī)劃、任務(wù)估算和調(diào)度。它還為所有利益相關(guān)者提供可見性和可追溯性。使用可重復(fù)的大綱可降低項(xiàng)目風(fēng)險，提高開發(fā)速度，幫助客戶互動，促進(jìn)項(xiàng)目管理并節(jié)省生產(chǎn)成本。最重要的是，它允許開發(fā)人員在最終測試或生產(chǎn)部署之前很久就解決安全問題。

前 5 大軟件漏洞是什么？

三個并發(fā)特征定義了軟件中易受攻擊的缺陷：

• 它存在。
• 網(wǎng)絡(luò)犯罪分子可以訪問它。
• 它可以被利用。

不僅僅是資源有限的小公司在生產(chǎn)中存在這些風(fēng)險。以下是2022年排名前10位的科技公司報告的漏洞數(shù)量：

• Debian Linux – Debian OS： 5，870
• Android – Google OS： 4，073
• Ubuntu Linux – Canonical OS： 3，130
• Mac Os X – Apple OS： 2，965
• Fedora – Fedoraproject OS： 2，805
• Linux Kernel – Linux OS： 2，763
• Windows 10 – Microsoft OS： 2，590
• iPhone 操作系統(tǒng) – 蘋果操作系統(tǒng)： 2，573
• Chrome – 谷歌應(yīng)用程序： 2，346
• Windows Server – 2016 Microsoft OS： 2，334

正如此列表所示，盡管有編碼標(biāo)準(zhǔn)、最佳實(shí)踐和安全測試，但潛在的危險缺陷仍然在任何地方的代碼中出現(xiàn)。修補(bǔ)是一種常見且經(jīng)常的做法，試圖修復(fù)利用風(fēng)險。但是，對于IT經(jīng)理來說，知道要優(yōu)先考慮哪些更新幾乎是壓倒性的。在一項(xiàng)調(diào)查中，72%的受訪者表示很難知道哪些補(bǔ)丁最重要。

簡而言之，任何提供利用機(jī)會的東西都是至關(guān)重要的。不幸的是，這是一個非常長的清單。為了幫助您確定優(yōu)先級，我們縮小了最危險的軟件漏洞的范圍，并對每個漏洞進(jìn)行了解釋。

1.SQL 入侵

將敏感數(shù)據(jù)從黑客手中奪走是全球企業(yè)最關(guān)心的問題。SQL注入或SQLi是對數(shù)據(jù)安全的持續(xù)威脅，允許網(wǎng)絡(luò)犯罪分子劫持應(yīng)用程序中的查詢以訪問數(shù)據(jù)庫。此訪問權(quán)限使他們能夠竊取、更改或刪除敏感的客戶或企業(yè)信息。它還可以為他們提供一種執(zhí)行拒絕服務(wù)攻擊或破壞基礎(chǔ)架構(gòu)的方法。

SQLi的顯著例子包括：

• 7-Eleven經(jīng)歷了一次SQL入侵攻擊，導(dǎo)致1.3億客戶信用卡號碼被盜。
• APT小組在GhostShell攻擊中針對53所大學(xué)，其中發(fā)布了36，000份教職員工和學(xué)生的個人記錄。
• RedHack集體也是APT組織的一部分，它入侵了土耳其政府，以消除對政府機(jī)構(gòu)的所有債務(wù)。
• 臭名昭著的黑客組織Anonymous在其首席執(zhí)行官威脅要公布匿名成員的名字后關(guān)閉了HBGary網(wǎng)站。

SQLi攻擊的影響可能是毀滅性的，并且可能在一段時間內(nèi)不會被注意到，這為不良行為者提供了進(jìn)入組織的后門。SQL入侵可能會關(guān)閉網(wǎng)站，對品牌聲譽(yù)造成不可挽回的損害，并導(dǎo)致大量的監(jiān)管罰款。阻止 SQLi 入侵的風(fēng)險是使用參數(shù)化查詢的問題。為了提高效率，查詢字符串應(yīng)始終是硬編碼的，并且不應(yīng)使用任何變量數(shù)據(jù)。

2. 操作系統(tǒng)命令注入

另一個危險的Web安全漏洞稱為shell注入或OS命令入侵。此代碼允許網(wǎng)絡(luò)犯罪分子直接在應(yīng)用程序服務(wù)器上執(zhí)行命令。HTML可以通過cookie輸入，或者表單字段允許攻擊者動態(tài)更改網(wǎng)頁。它還可能允許他們利用信任關(guān)系來攻擊組織基礎(chǔ)結(jié)構(gòu)的其他部分。

通過使用更安全的 API，可以防止操作系統(tǒng)命令注入。通過應(yīng)用程序?qū)哟a和用戶可控制的數(shù)據(jù)調(diào)用操作系統(tǒng)命令，開辟了操作服務(wù)器級命令的可能性。所有用戶輸入的數(shù)據(jù)都應(yīng)具有有限的長度，并通過可接受輸入值的白名單進(jìn)行驗(yàn)證。確保 API 僅使用命令行參數(shù)按名稱執(zhí)行非常具體的進(jìn)程，以便在發(fā)生違規(guī)時限制攻擊者的選項(xiàng)。

3. 緩沖區(qū)溢出

緩沖區(qū)僅保存有限數(shù)量的數(shù)據(jù)。這意味著固定內(nèi)存塊中的任何額外數(shù)據(jù)都會溢出到目標(biāo)緩沖區(qū)附近的地址中。結(jié)果是數(shù)據(jù)被覆蓋。當(dāng)黑客利用這種類型的漏洞時，他們可以修改內(nèi)部應(yīng)用程序變量或使進(jìn)程崩潰。

但是，不僅網(wǎng)絡(luò)犯罪行為會導(dǎo)致溢出。當(dāng)數(shù)據(jù)未正確驗(yàn)證時，可能會無意中發(fā)生這種情況。使用充分的邊界檢查可以消除發(fā)送到內(nèi)存緩沖區(qū)的額外數(shù)據(jù)，或標(biāo)記數(shù)據(jù)以引起注意。

4. 不受控制的格式字符串

當(dāng)輸入字符串作為應(yīng)用程序命令計算時，它可以更改其預(yù)期行為。這種類型的操作稱為格式字符串攻擊。這種類型的漏洞與緩沖區(qū)和整數(shù)溢出有關(guān)，因?yàn)樗鼈儠膽?yīng)用程序的解釋或行為，以允許它訪問其他內(nèi)存空間。

當(dāng)黑客使用字符串庫格式化字符利用不受控制的格式字符串時，他們可以執(zhí)行威脅系統(tǒng)穩(wěn)定性和安全性的代碼。折衷方案可能包括讀取堆?；蛞敕侄五e誤。防止此類風(fēng)險的最佳做法包括禁止用戶控制的輸入來格式化函數(shù)和驗(yàn)證輸入。

5. 整數(shù)溢出

整數(shù)溢出也稱為環(huán)繞，是指算術(shù)運(yùn)算允許整數(shù)值超過分配的存儲，從而允許它溢出有限的內(nèi)存空間。編譯器通常會忽略任何生成的錯誤，或者在發(fā)生整數(shù)溢出時完全中止程序。但是，該行為可能會將應(yīng)用程序開放給攻擊者，攻擊者將利用緩沖區(qū)溢出來執(zhí)行惡意代碼。他們還可以升級特權(quán)，以賦予他們更多的傷害能力。

遺憾的是，由于未定義行為的可變性，很難檢測和調(diào)試整數(shù)溢出。為了避免整數(shù)溢出攻擊，最佳做法包括用戶輸入數(shù)據(jù)驗(yàn)證以及限制每個整數(shù)類型的最小值和最大值。軟件還應(yīng)處理所有越界值異常。

如何避免軟件開發(fā)中的漏洞

每年數(shù)據(jù)泄露、勒索軟件攻擊和其他惡意網(wǎng)絡(luò)攻擊的不斷增加意味著組織必須對攻擊保持警惕。開發(fā)人員應(yīng)始終優(yōu)先考慮安全編碼實(shí)踐，執(zhí)行各種應(yīng)用程序測試，并實(shí)現(xiàn)強(qiáng)大的安全工具和框架。雖然沒有辦法消除所有網(wǎng)絡(luò)安全風(fēng)險，但安全的軟件開發(fā)生命周期實(shí)踐可能會使攻擊者更難以利用任何漏洞。

定義軟件開發(fā)的安全要求

要求是某些東西可以做的最低限度的必要操作，以便被接受。換句話說，電子商務(wù)網(wǎng)站至少需要顯示待售商品，允許客戶將其添加到購物車中，并為他們提供一種在結(jié)帳前輸入付款方式和交付詳細(xì)信息的方法。軟件保護(hù)的安全要求可確保發(fā)生預(yù)期的行為，并減少意外使用。它們包括功能性、非功能性和派生需求。

實(shí)現(xiàn)角色和職責(zé)

角色和職責(zé)旨在定義各種角色，并將管理員和用戶的能力限制為僅執(zhí)行其職位的預(yù)期功能所需的操作。必須有人負(fù)責(zé)管理應(yīng)用程序，執(zhí)行代碼掃描和應(yīng)用基本的安全補(bǔ)丁，等同于典型用戶不應(yīng)該擁有的增強(qiáng)權(quán)限。此安全措施可防止無意中損壞系統(tǒng)、數(shù)據(jù)丟失和故意惡意操作。

實(shí)現(xiàn)支持工具鏈

自動化可降低人為錯誤的風(fēng)險，并在整個軟件開發(fā)過程中標(biāo)準(zhǔn)化安全程序。將風(fēng)險降至最低還意味著確定每個工具鏈中包含哪些開發(fā)工具以及將集成哪些安全工具。應(yīng)通過跟蹤日志來監(jiān)視工具本身是否存在潛在的安全漏洞。其他協(xié)議應(yīng)包括安全操作的審核跟蹤、審核范圍和計劃以及審核的執(zhí)行方式。

定義軟件安全檢查標(biāo)準(zhǔn)

正如應(yīng)用程序具有功能要求和驗(yàn)收標(biāo)準(zhǔn)一樣，安全標(biāo)準(zhǔn)可確保軟件符合安全要求。它們支持聲明的風(fēng)險承受能力，并定義安全測試的可接受結(jié)果。這些標(biāo)準(zhǔn)來自過去的漏洞、法規(guī)和行業(yè)標(biāo)準(zhǔn)的組合。軟件安全標(biāo)準(zhǔn)應(yīng)涉及應(yīng)用程序軟件和內(nèi)部系統(tǒng)接口以及各種用戶權(quán)限，以防止升級和利用。

確保軟件版本完整性

您可以采取幾個步驟來保護(hù)軟件版本的完整性，包括：

• 確保所有代碼都存儲在安全的代碼存儲庫中
• 在可執(zhí)行文件上實(shí)現(xiàn)代碼簽名
• 利用加密哈希實(shí)現(xiàn)文件完整性
• 限制對代碼存儲庫的訪問
• 向軟件消費(fèi)者提供驗(yàn)證信息
• 為軟件存儲庫中的所有內(nèi)容存儲軟件物料清單
• 使用版本控制并審核所有更改，包括實(shí)現(xiàn)更改的源或開發(fā)人員

存檔和保護(hù)每個軟件版本

當(dāng)消費(fèi)者購買新軟件時，他們需要確保安裝新軟件是安全的，并且來自合法來源。為了保護(hù)軟件，加密哈希應(yīng)發(fā)布在嚴(yán)格安全的網(wǎng)站上，以獲取發(fā)布文件。還應(yīng)定期查看代碼證書、續(xù)訂日期和簽名過程。僅使用信譽(yù)良好且已建立的簽名機(jī)構(gòu)。

最后，每個版本都應(yīng)該被復(fù)制和存檔。從應(yīng)用程序代碼到包文件、第三方庫、發(fā)行說明和完整性驗(yàn)證數(shù)據(jù)的所有內(nèi)容都應(yīng)包含在存檔中。發(fā)布文件存儲庫應(yīng)通過受限訪問進(jìn)行保護(hù)。

定期掃描軟件中的漏洞

常見的行業(yè)做法是每季度執(zhí)行一次漏洞掃描，以識別軟件中的安全漏洞。但是，網(wǎng)絡(luò)犯罪分子可以24x7x365全天候工作。每個企業(yè)都必須評估自己的風(fēng)險承受能力水平，以決定執(zhí)行掃描的頻率。許多公司采用例行的每月或每周掃描計劃，以更快地發(fā)現(xiàn)漏洞。

簡化軟件開發(fā)管理

確保軟件和系統(tǒng)的安全性是一項(xiàng)永無止境的任務(wù)。預(yù)防、檢測和修復(fù)軟件漏洞從開發(fā)人員開始，但幾乎涉及 IT 組織的每個部分，以實(shí)現(xiàn)充分的覆蓋。還需要經(jīng)常進(jìn)行評估，以確保管道上沒有引入新的威脅。這意味著要實(shí)施適當(dāng)?shù)膾呙韬蜏y試工具，以掌握新出現(xiàn)的風(fēng)險。SOOS在每次掃描時都會跟蹤超過100，000個已知漏洞。我們理解安全不是一種選擇;這是必要的。我們的費(fèi)用為每月99美元。您沒有掃描限制，并且每個功能都可以在無限的項(xiàng)目中為無限的用戶提供。它還可以輕松集成到 CI/CD 管道中。要了解有關(guān)SOOS用于軟件漏洞掃描的軟件成分分析服務(wù)的更多信息，請繼續(xù)關(guān)注SaaSpace發(fā)布的資訊。