DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

cdn防护_联通云盾_免费测试

cdn防护_联通云盾_免费测试

应用程序安全这个术语在软件界是一个很流行的术语。在电子商务中,当人们谈论电子商务中的应用程序时,他们通常会提到企业应用程序的安全性。这个术语在嵌入式软件行业中并不常见,它是控制发电厂、工厂、飞机、汽车、恒温器的软件,通常有助于我们的日常生活。这使得人们认为应用程序的安全性以及所使用的原则、技术和工具并不适用。这与事实相差甚远。此外,像OWASP Top 10这样的基准测试、静态分析等工具、DevSecOps之类的进程,在嵌入式系统和应用程序中同样适用,需要时稍加翻译。那么,应用程序和嵌入式设备有什么区别呢?这取决于你的观点。"应用"是指不同的东西那么,什么是企业系统中的应用程序?它通常是实现业务逻辑以向最终用户交付价值的一部分功能,该最终用户可以是另一个系统,也可以是一个人。应用程序位于抽象层之上,抽象层可以是web服务器,节点.js,或使用其他应用程序(如数据库)或连接到其他应用程序的另一个平台。嵌入式系统可以从小型系统(如汽车发动机控制单元)到大型系统(如电信交换机)的变化。开发人员在构建执行专用功能的小型系统时,可能不会将他们所做的视为"应用程序开发"。同样,在电信交换机中开发高级应用程序的开发人员可能不会将他们所做的视为嵌入式开发。让我们考虑一下关于嵌入式开发的应用程序开发的一些不同观点:设备就是应用程序:对于那些日复一日做同样事情的专用系统来说,它们存在的原因是设备的功能。该设备提供了应用程序,仅为安全和质量更新而进行修改。我们构建平台而不是应用程序:在大型嵌入式系统中,例如电信交换机,通常有独立的团队来执行不同的架构层。低级别的"平台"团队处理硬件接口、实时操作系统、设备驱动程序等。他们通常看起来与其他团队处于一个不同的世界中,而其他团队正在构建使用该平台的软件。应用程序是针对台式机和服务器的:一些嵌入式开发人员可能不会将他们所做的任何部分视为应用程序开发,而仅仅是桌面计算机和后端服务器的领域。尽管存在这种观点,但这些开发人员仍然必须像对待任何软件开发人员一样,免费的cc防御,考虑到安全性对他们的工作很重要。什么是应用程序?Wikipedia将应用软件定义为"是为了用户的利益而设计的执行一组协调的功能、任务或活动的计算机软件"。这似乎很简单,尽管认识到"用户"可能不是人而是另一个系统很重要。很容易看出,几乎所有的嵌入式设备都提供了某种对最终用户有益的功能,不管是人类还是其他人。为什么向嵌入式开发人员提出应用程序安全性的重要性如此重要?首先也是最重要的是,它强调了安全性对于任何连接到其他设备或提供某种用户或系统输入的设备的重要性。例如,ddos防御怎么实现,开发人员可能会认为,恶意使用他们的设备是不太可能的,windows防御cc,因为它注定要在一个封闭的系统中使用,隐藏起来,看不见。一个明显的例子就是Stuxnet蠕虫病毒,它被设计用来攻击工业控制系统,这些系统被认为是与外界"隔空"的。虽然这种攻击相当复杂,但工业控制系统的设计者不太可能考虑到恶意攻击的情况,也不太可能从专用网络中进行考虑。那么,嵌入式开发人员可能会缺少应用程序安全性的哪些部分?由于不考虑应用程序安全性,也不将安全性作为开发中的一个顶层需求和风险,嵌入式开发人员继续让自己和他们的公司承担风险和产品责任。这是可以理解的,因为许多这些设备都是在预算紧张的情况下批量生产的。然而,最终保护设备的成本并不是来自制造商。考虑一下嵌入式开发人员在忽略其他领域(如OWASP和CERT/CWE)使用的原则、技术和工具时可能会遗漏的一些东西:不在他们的设备中设计安全性:在软件被构建之后保护它比在初始阶段和设计阶段做的更困难和更昂贵。不仅如此,嵌入式开发人员不太可能考虑设备上可能出现的所有攻击表面,甚至不可能考虑恶意使用的可能性(尽管最近的媒体报道可能会改变这种观点。)我在过去已经讨论过"安全设计主题,请看本博客系列文章从这里开始"。不进行安全性测试:如果安全性不是高优先级的,那么设备也很可能没有通过安全性测试。例如,这不仅仅意味着外部渗透测试。即使是在单元和代码级别,也不太可能对代码进行漏洞检查。例如,ddos服务器怎么防御,静态分析工具对于发现代码中潜在的错误和安全问题非常有用,高防-cdn,即使是在开发之后。不使用过程和工具来提高安全性:改进安全性的设计的一个关键部分是使用经过验证的过程、工具、技术和编码标准。将最佳实践纳入开发周期有助于降低总体安全成本,并将工作分散到整个项目中。不修复安全问题:对于许多开发人员来说,很明显,如果发现了安全漏洞,他们只会修复它并修补产品。不幸的是,这与业内的做法相去甚远。事实上,超过25%的关键安全漏洞在被发现290天后仍未被修补!嵌入式设备很难修补,即使这样,也很难通知用户并有效地传播补丁。建议嵌入式开发人员注意应用程序和企业界的教学和经验。事实上,我将在以后的文章中查看OWASP的10大漏洞列表以及它如何应用于嵌入式开发。摘要尽管有相反的抗议,在大多数情况下,嵌入式开发人员正在构建软件应用程序。虽然应用程序安全性的讨论不包括嵌入式设备或其独特的限制,但许多原则是适用的。安全性通常是事后才想到的,无论在后期开发中投入了多少精力,这都是一个昂贵的命题。如果开发人员没有发现安全漏洞,攻击者的任何一个客户都会发现安全漏洞。考虑应用程序安全的原则和经验对嵌入式开发人员同样重要有兴趣了解更多?阅读我们的指南"嵌入式软件设计:静态分析工具的最佳实践"阅读指南hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(582328,'69509d29-9c44-4ef9-b6af-501085daf957',{});

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61014.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8134462访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X