搜索

對話企業(yè)家陶利——做企業(yè)靠 19年前，他是一個程序員，初出茅廬，經(jīng)驗不足，憑借一己之力闖世界;
省市領(lǐng)導(dǎo)蒞臨億恩科技推進(jìn)電 12月22日上午，由河南省商務(wù)廳，鄭州市商務(wù)局有關(guān)領(lǐng)導(dǎo)蒞臨河南省億
怎樣選擇服務(wù)器托管商？如何 互聯(lián)網(wǎng)開展至今，服務(wù)器方面的受到越來越多人的注重，假如要停止服務(wù)器

位置：首頁>云服務(wù)>云技術(shù)>應(yīng)對PaaS安全性挑戰(zhàn)的五個步驟

應(yīng)對PaaS安全性挑戰(zhàn)的五個步驟

2015年12月15日 15點17分 來源：億恩IDC資訊 有0人參與

云主機服務(wù)器租用服務(wù)器托管虛擬主機域名注冊網(wǎng)站建設(shè)

對于那些在應(yīng)用程序安全方面已投入巨資的組織來說，他們擁有固定滿編訓(xùn)練有素的開發(fā)人員，獨立的開發(fā)、測試以及生產(chǎn)流程，所以應(yīng)對PaaS安全性問題應(yīng)該是駕輕就熟的。而那些還未作出這些投資的機構(gòu)可以遵循如下步驟，從而在一定程度上有助于應(yīng)對PaaS安全性的挑戰(zhàn)。

對于那些在應(yīng)用程序安全方面已投入巨資的組織來說，他們擁有固定滿編訓(xùn)練有素的開發(fā)人員，獨立的開發(fā)、測試以及生產(chǎn)流程，所以應(yīng)對PaaS安全性問題應(yīng)該是駕輕就熟的。而那些還未作出這些投資的機構(gòu)可以遵循如下步驟，從而在一定程度上有助于應(yīng)對PaaS安全性的挑戰(zhàn)。

步驟一：建立安全措施

應(yīng)用程序安全性的根本挑戰(zhàn)遠(yuǎn)在PaaS實施前就已經(jīng)存在。因此，對于如何完善生產(chǎn)安全、魯棒的應(yīng)用程序的部署措施已有相當(dāng)?shù)难芯?。有一個可提供直接支持的技術(shù)被稱為應(yīng)用程序威脅建模。一些很好的著力點是OWASP威脅建模頁以及微軟公司的安全性開發(fā)生命周期資源頁。從工具的角度來看，是免費跨網(wǎng)站腳本（XSS）和SQL注入。擁有內(nèi)部工具的企業(yè)可以將其應(yīng)用于PaaS的安全性措施，或者眾多PaaS供應(yīng)商為客戶以免費或打折的價格提供了具有類似功能的工具。而當(dāng)企業(yè)希望使用一個更為廣泛的掃描策略時，他們還可以使用諸如Google公司的skipfish這樣的免費工具。

步驟二：掃描網(wǎng)絡(luò)應(yīng)用程序

眾多公司已經(jīng)接受了應(yīng)用程序掃描，這是一個用于解決通用安全問題（例如跨平臺腳本（XSS）和SQL導(dǎo)入）的網(wǎng)絡(luò)應(yīng)用程序掃描工具。擁有內(nèi)部工具的企業(yè)可以將其應(yīng)用于PaaS安全性措施，或者眾多PaaS供應(yīng)商為客戶以免費或打折的價格提供了類似功能的工具。而當(dāng)企業(yè)希望使用一個更為廣泛的掃描策略時，他們還可以使用諸如Google公司的skipfish這樣的免費工具。

步驟三：培訓(xùn)開發(fā)人員

應(yīng)用程序開發(fā)人員完全通盤精通應(yīng)用程序安全性原則是非常關(guān)鍵的。這可以包括語言級培訓(xùn)（即他們目前用于構(gòu)建應(yīng)用程序所使用語言中的安全編碼原則）以及更廣泛的議題，如安全性設(shè)計原則等。由于開發(fā)人員的減員和流動性等原因，這往往要求培訓(xùn)必須定期重復(fù)并作為常態(tài)保持下去，所以開發(fā)人員應(yīng)用程序的安全性培訓(xùn)成本可能是較為昂貴的。幸運的是，還有一些免費的資源，例如TexasA&M/FEMA國內(nèi)防備校園計劃提供了一些安全性軟件開發(fā)的免費電子學(xué)習(xí)資料。微軟公司也通過其Clinic2806提供了免費培訓(xùn)：微軟開發(fā)人員安全性知道培訓(xùn)，這是一個開始你自己定制程序有用的入門級培訓(xùn)材料。

步驟四：擁有專用的測試數(shù)據(jù)

這樣的情況總是在不斷發(fā)生中的：開發(fā)人員使用生產(chǎn)數(shù)據(jù)進(jìn)行測試。這是一個需要正確認(rèn)識的問題，因為機密數(shù)據(jù)（例如客戶私人可辨識的數(shù)據(jù)）可能在測試過程中泄漏，特別是在開發(fā)或試運行環(huán)境中并沒有執(zhí)行與生產(chǎn)環(huán)境相同的安全措施時。PaaS的環(huán)境敏感性更甚，而眾多PaaS服務(wù)更易于實現(xiàn)部署、試運行以及生產(chǎn)之間的數(shù)據(jù)庫共享以簡化部署。如開源DatabeneBenerator之類的工具可以產(chǎn)生符合你數(shù)據(jù)庫特定結(jié)構(gòu)的高容量數(shù)據(jù)，而數(shù)據(jù)格式調(diào)整有助于擁有專用的生產(chǎn)數(shù)據(jù)。通常，這些處理是屬于特定框架的，因此你需要留意找出一個能夠在你的特定環(huán)境中正常工作的。

步驟五：重新調(diào)整優(yōu)先級

這最后一個步驟是你可以實施的最重要的一個步驟。既然PaaS可能意味著一種文化和優(yōu)先級的調(diào)整，那么相應(yīng)地接受這一調(diào)整并將其真正納入自己的思想行為體系中。使用PaaS，所有都是與應(yīng)用程序相關(guān);這意味著組織的安全性將高度依賴于組織中的開發(fā)團(tuán)隊。如果這不是PaaS的問題，那么這將會是一場噩夢了，因為在基礎(chǔ)設(shè)施級你無法實施多少措施以緩解已識別的風(fēng)險。如果你一直以來都是依賴于基礎(chǔ)設(shè)施級的控制以滿足在應(yīng)用程序級的安全挑戰(zhàn)，現(xiàn)在是時候重新考慮

河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機 24小時售后服務(wù)電話：0371-60135900
虛擬主機/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900