大多數(shù)人都可能有以下經(jīng)歷,在亞馬遜上訂購(gòu)商品、通過優(yōu)步叫車、在Airbnb上預(yù)訂房間、在在 Netflix上看過電影或節(jié)目、在Instagram上發(fā)布過照片、在Pinterest上固定過商品或在谷歌上查了一些東西,在這期間無形中就在使用了Java。
簡(jiǎn)而言之,Java是一種讓成千上萬(wàn)的應(yīng)用程序和網(wǎng)站無縫運(yùn)行的編程語(yǔ)言。
Java于1995年由Sun Microsystems首次推出,現(xiàn)在是Oracle的產(chǎn)品,它是世界頂級(jí)的編程語(yǔ)言,運(yùn)行著從科學(xué)超級(jí)計(jì)算機(jī)、數(shù)據(jù)中心和電子商務(wù)網(wǎng)站到手機(jī)、游戲機(jī)和網(wǎng)上銀行的一切事物。
很多程序員一直從事Java語(yǔ)言代碼的編寫,完成一個(gè)又一個(gè)軟件應(yīng)用。但在說起如何確保軟件應(yīng)用安全時(shí),知道的人少之又少。
Infosec Skills的作者 Larry Ricker表示,“自互聯(lián)網(wǎng)以來,網(wǎng)絡(luò)安全性一直在增長(zhǎng),而這一需求一直是互聯(lián)網(wǎng)創(chuàng)造的一個(gè)問題,Ricker稱,他最近在信息安全技能中發(fā)布了《用Java編寫安全代碼學(xué)習(xí)路徑》(Writing Secure Code Learning Path in Infosec Skills)。“如果你在做任何編程或編寫應(yīng)用程序,并且身處一個(gè)有客戶的環(huán)境中,你就在收集人們的信息,你需要保護(hù)這些信息。”
學(xué)習(xí)Java安全性
作為軟件開發(fā)人員,我們有必要了解人們可以用來攻擊軟件的跨站點(diǎn)請(qǐng)求偽造和攻擊,”Ricker說。“所以現(xiàn)在在進(jìn)行安全代碼審查并查看人們的代碼時(shí),更熱衷于他們可能正在做的可能會(huì)打開漏洞或易受攻擊的事情。”
易受攻擊的代碼導(dǎo)致網(wǎng)絡(luò)攻擊
今年早些時(shí)候,一名道德黑客利用開源開發(fā)工具,侵入了蘋果、微軟、Netflix、貝寶、Shopify、特斯拉和優(yōu)步等科技公司的系統(tǒng)。
安全研究員 Alex Birsan 開發(fā)的代碼被注入到常用工具中,用于在開發(fā)者項(xiàng)目中安裝依賴項(xiàng)。他利用的漏洞在超過35個(gè)企業(yè)中被檢測(cè)到,主要使用三種編程語(yǔ)言——Python、Ruby和Java。
去年,SolarWinds遭到黑客攻擊,影響了該公司約1.8萬(wàn)名客戶,這些客戶下載了一個(gè)植入惡意代碼的軟件更新。包括微軟、英特爾和思科在內(nèi)的100多家公司受到影響。包括財(cái)政部、司法部、能源部和國(guó)防部在內(nèi)的聯(lián)邦政府機(jī)構(gòu)也是如此。
隱私法強(qiáng)調(diào)安全
由于機(jī)構(gòu)和社交媒體收集了大量的個(gè)人信息,國(guó)外的隱私法和國(guó)內(nèi)的《個(gè)人信息保護(hù)法》正在收緊。歐盟通過了保護(hù)個(gè)人隱私的法規(guī),并對(duì)侵犯?jìng)€(gè)人隱私的行為實(shí)施嚴(yán)厲懲罰。國(guó)內(nèi)的《個(gè)人信息保護(hù)法》也在11月1日開始實(shí)施。 這些正在施行的法規(guī)對(duì)企業(yè)的影響都是真實(shí)的。
“作為開發(fā)人員和編碼人員,我們正在收集大量個(gè)人信息,我們必須保護(hù)這些數(shù)據(jù)。這涉及到設(shè)計(jì)層面,在應(yīng)用軟件開發(fā)前期就必須開始考慮安全問題。
當(dāng)某些平臺(tái)出于營(yíng)銷目的收集大量信息,這會(huì)使企業(yè)承擔(dān)安全上的責(zé)任。所以每個(gè)人都需要意識(shí)到這種環(huán)境下的安全性。”
提高Java的安全
靜態(tài)代碼安全檢測(cè)工具是一個(gè)常見且有效的檢測(cè)方式,靜態(tài)代碼檢測(cè)在不執(zhí)行代碼的情況下檢測(cè)所有可執(zhí)行路徑,并且面向源碼分析多種問題。靜態(tài)代碼分析是在研發(fā)階段開始找到并修復(fù)多種問題,節(jié)省大量時(shí)間、人力成本。
提高Java編碼的安全性對(duì)企業(yè)來說不僅局限于軟件安全性上,在經(jīng)濟(jì)上也能減少相當(dāng)一部分開銷。數(shù)據(jù)顯示,在測(cè)試、發(fā)布階段糾正缺陷的成本是編碼階段發(fā)現(xiàn)并糾正缺陷的成本的15-90倍,如果在交付用戶之后才發(fā)現(xiàn)并解決缺陷,這個(gè)數(shù)字將達(dá)到50-200倍。因此,在編碼實(shí)現(xiàn)階段發(fā)現(xiàn)并解決盡可能多的缺陷,能夠極大降低缺陷管理成本,據(jù)相關(guān)統(tǒng)計(jì)數(shù)字估計(jì),這個(gè)成本至少可以降低 1/3。在安全漏洞被瘋狂利用的今天,通過靜態(tài)代碼分析技術(shù)來提高軟件安全是企業(yè)的重要措施。
哪些企業(yè)應(yīng)該提高Java安全?
隨著數(shù)字時(shí)代的加速發(fā)展,越來越多的企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型,網(wǎng)絡(luò)攻擊分子更盯住金融服務(wù)、互聯(lián)網(wǎng)等巨頭企業(yè),同時(shí)醫(yī)療保健和關(guān)鍵基礎(chǔ)設(shè)施等組織也是其重點(diǎn)目標(biāo)。在企業(yè)開發(fā)軟件或確認(rèn)來自第三方供應(yīng)商軟件時(shí),加強(qiáng)對(duì)代碼缺陷和安全漏洞的檢測(cè)有助于企業(yè)維持安全穩(wěn)健的網(wǎng)絡(luò)環(huán)境,同時(shí)也有助于企業(yè)業(yè)務(wù)的健康發(fā)展。
參讀鏈接:
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/123385.html
