DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

服务器安全防护_云盾ddos监控_方法

服务器安全防护_云盾ddos监控_方法

Bryan Batty是彭博工业集团(Bloomberg Industry Group)的产品和基础设施安全总监,该集团是彭博社L.P.的子公司、新闻机构和彭博终端。彭博社的重点是法律、税务和会计新闻,以及税务和会计软件。Batty负责产品安全和基础设施安全团队,与开发人员和基础设施团队密切合作,wayos如何防御ddos攻击,以确保投入生产和运营的内容以安全的方式完成,包括寻找现有基础设施中存在的漏洞。今年1月,我们采访了布赖恩,网页cc防御功能破解,在这个由四部分组成的对话中,我们讨论了彭博社的软件开发过程,特别是他们的软件供应链管理。这是第一部分"如果你从一个像Sonatype的Nexus生命周期这样的工具开始,它会很好地工作。您将立即知道组件的版本,它是否具有您要使用的许可证,或者它是否存在已知的漏洞。Nexus Lifecycle知道哪些组件版本没有已知的漏洞,当发现安全问题时,它知道漏洞是什么布莱恩·巴蒂:我在2006年获得了学士学位,想成为一名开发人员,做一些东西。我真的很喜欢。如果安全性没有出现并抓住我,我仍然会很高兴开发新的软件和工具。在我开始我的职业生涯后不久,我就进入了安全部门。我参加了一个微软的会议,有一个关于SQL注入的会议。我只是对这么容易做到这一点感到震惊。所以在我下巴掉下来之后,我想到了我一直在写的代码。我说,"哦,我最好回去修好它。"我砍了自己,看到,"是的,cc攻击和云防御,这个代码是垃圾。"那时候做起来很容易。易于利用,易于修复。定义安全要求马克·米勒:SQL注入仍然是OWASP前10名之一。布莱恩·巴蒂:是啊,太疯狂了。十年来一直是OWASP的前10名,对吧?一份原件。令人惊讶的是,新开发人员仍然在使用它。。。我认为这可能是一个意识和教育的问题。新的开发人员,像我一样,只是想让东西发挥作用。我们要写一个故事,然后说,"好吧,我可以写出来。"done的定义应该有安全性要求,但是它们通常没有,因为安全性不会被邀请到表中。完成的定义是创造性。通常开发人员会说,"好吧,一旦它成功了,我就完成了。"并不是所有的开发人员都是这样的。有些人对确保事情以可扩展的方式、安全的方式、可持续的方式进行非常警惕。马克·米勒:OWASP前10名包括A9,它是"使用具有已知漏洞的组件"。你的团队是如何处理的?软件组成分析布莱恩·巴蒂:这是两个工作前的事。我试图实现一个OWASP依赖性检查。术语有点变化。我认为在过去的几年里,这个短语已经变成了"软件组合分析"[SCA],用于扫描第三方库、开放源代码库中的许可证违规和已知的安全漏洞。SCA需要检查的还有代码质量和所使用库的使用年限。在使用软件组合分析工具一段时间后,我们意识到如果库非常旧,他们需要通过30个不同的版本进行升级,我们会从开发人员那里得到多大的压力,以及有多困难。开发商担心会出问题。这可以追溯到开发人员和操作之间最初的开发和操作冲突。对于开发人员来说,他们的目标是将新特性推向生产。他们正在将变革引入生产。运营和正常运行时间。他们不想要零钱。当某些功能正常工作时,他们不希望在生产中使用新功能。为了安全起见,也是一样。如果我们要求更改某些内容,开发人员会突然说,"不,代码有效。"他们的立场与安全性相反,说"我们不想更改代码,因为它现在可以工作了。"。我们不知道如果我们进行任何更新,会出现什么问题。"我认为对于一个新的项目,如果你开始使用像Sonatype的nexuslifecycle这样的工具,它会很好地运行的。您将立即知道组件的版本,它是否具有您要使用的许可证,或者它是否存在已知的漏洞。Nexus Lifecycle知道哪些组件版本没有已知的漏洞,当发现安全问题时,它知道漏洞是什么。说到遗留应用程序,我不得不说,"好吧,我说服了开发人员让我做一个概念验证。让我扫描一下你们所有的第三方库"。然后我们发现有53个关键漏洞,200个"高"和700个"中等"。你几乎要瘫痪了。我几乎瘫痪了。我该怎么办?我从哪里开始?有那么多批评,就从批评开始吧。但是有55个关键点,所以。。。强化软件供应链马克·米勒:告诉我们这个过程。你有55个关键点。你从哪里开始?布莱恩·巴蒂:不是所有的批判都是平等的,对吧?我们从这个角度分析软件。软件组合分析工具所做的就是扫描第三方库。他们不会扫描你的自定义代码。因此,我从开发人员那里得到的最大的回击是"如果你通读它,它说如果你只调用方法X,这个组件是脆弱的。但是我们没有使用方法X,所以它是一个误报。"这是我们从开发人员那里听到的。我同意,如果代码现在没有调用那个易受攻击的方法,那么这个漏洞就没有那么严重了,怎么防御cc,但是我不会把它归类为假阳性。这不是假阳性。这是您所使用的开源软件组件的一个漏洞。我们试图定制组件并降低漏洞。通过降低被利用的可能性,因为它没有被调用,危险性也会降低。如果它是一个得分为"关键"的组件,基于我们的研究进行的重新分类可能会将其降低到"中等",甚至是"低"。我们还将查看它是内部应用程序还是外部应用程序。开源组件使用的演变马克·米勒:我认为开发人员没有意识到一个新应用程序的80%是开源组件,而源代码基本上是将这些组件结合在一起的粘合剂。布莱恩·巴蒂:我的开发人员知道,但只有在我一次又一次地告诉他们之后。马克·米勒:你在这里已经有一段时间了,超过12年了。这种变化对你有什么影响?以前每个人都关心自定义源代码。它是否转向了对开源软件组件的关注?布莱恩·巴蒂:如果你和商业方面谈谈,那些正在开发新功能以投入生产、获得市场份额、使我们与竞争对手脱颖而出的人。。。他们不在乎它是怎么建的。他们只想建起来,想建得快。因此,他们完全接受开源软件作为一种手段,防御cc攻击软件,不必重新发明轮子,可以利用已经存在的东西。如果开发人员需要4个小时来集成一个开源库并使其正常工作,而不是自己花3个月的时间来构建它——我只是把这些数字扔出去而已——那么,嘿,太好了,使用开源库吧。他们的态度是,"我不在乎它有多安全或不安全。只需使用它,我们就可以继续使用其他功能。"他们完全接受了开源软件。我有责任教育他们使用某些图书馆的危险和风险,以及你必须保持多高的警惕性来了解图书馆的最新情况。更不用说确保我们没有违反我们的许可证政策,我们使用的是安全的库。马克·米勒:对于某些类型的许可证,如果您在软件中添加了某些内容,则必须将其返还给社区。你的团队是如何监控的?你是做什么的?布莱恩·巴蒂:现在我们使用的是Nexus Lifecycle,这是一款对我们有很大帮助的产品。我可以扫描任何开源组件的许可证违规。更重要的是,我可以告诉人们,"嘿,这个组件的许可证违反了,我们需要做的是。。。你要么换掉它,要么给它发许可证。"这是我们和布莱恩·巴蒂谈话的第一部分。在第二部分中,他从一开始就将安全性构建到应用程序中。在第三部分中,他解释了他对实验和衡量成功的看法。最后,在第四部分中,他分享了他选择Sonatype平台的原因。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/67560.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8954340访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X