复杂安全检查的频率应该如何?

日期: 2014-09-23 作者:Kevin Beaver翻译:christy 来源:TechTarget中国 英文

对于企业应用,假设我们的开发团队做的大量微小更改(以两、三个星期为迭代周期),那么我的进行复杂安全检查的频率该如何?

定期(如每个季度或每六个月)对应用进行复杂安全检查,或在每次重大更改后进行检查,这是一个通用规则。这样,你就会发现担缺陷,这些缺陷可能会被引入到代码中的,会被别人发现的,或被你的安全测试工具或渗透测试器检测到。

你开发团队需要考虑,对于你的应用和公司,什么才是重大改变。在代码方面和整体攻击层上,每两周或三周的微小更改可累积成大改变。我曾经做过一个项目,我发现了web应用中的SQL注入。猜猜发生了什么?最初的SQL注入缺陷被再次引入,随之而来的就是没有执行安全测试。不幸的是,一个罪恶的黑客发现了这一缺陷,然而企业突然出现了信用卡数据漏洞要处理。

有些人几乎实时扫描他们的应用和源代码,而还有些人是每几个月进行一次。你可能会经常扫描(如,每周或每月),同时执行更加复杂的安全评估时减少频率(如,每年一、两次)。

大量小型迭代,对于不断迭代运行自动化扫描可能会有产生意义。例如,两星期迭代,对于每两周进行源代码扫描很有意义。如果安全问题持续出现,那么就考虑现加频繁地扫描来清除源。如果问题鲜少出现,你可能会降低频率到每月一次。这一常规扫描将会在深层的安全审计之间保证应用的安全。

我无法回答你的问题,因为并没有这样一个神奇的数字可以说明最佳频率,但我可以说,你需要定期地,并持续地进行复杂安全检查。只有你自己知道什么才是对你的环境和企业是最好的。频繁的小检查可以给你反馈,让你做出决定。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

翻译

christy
christy

相关推荐

  • 漏洞测试 第三方应用安全必不可少

    随着开发人员引入越来越多的第三方软件组件和合作伙伴API,但对此我们双没有直接的控制权,这样我们如何测试第三方应用的安全性?

  • 应用安全测试:双面的黑盒

    软件安全的最大风险是检验工具及过程不透明的本质,以及不同的检验技术(例如自动化动态测试)不能覆盖假阴性错误的潜在可能性。