یک بار اجرای شما & #39; و ارزیابی امنیتی به عنوان بخشی از توسعه برنامه کاربردی وب آن & #39; تکمیل ثانیه زمان برای رفتن مسیر از همه remediating مشکلات امنیتی شما کشف. در این مرحله توسعه دهندگان خود را آزمایشکنندگان تضمین کیفیت حسابرسان و مدیران امنیتی همه نزدیک به ترکیب امنیت به فرآیندهای فعلی چرخه عمر توسعه نرم افزار به منظور از بین بردن برنامه همکاری می باید آسیب پذیری. و با خود وب نرم افزار امنیتی ارزیابی گزارش در دست، شما احتمالا یک لیست طولانی از مسائل امنیتی است که نیاز به خطاب هم: کم و متوسط و آسیب پذیری نرم افزار بالا; پیکربندی gaffes؛ و موارد در آن اشتباهات منطق کسب و کار ایجاد خطرات امنیتی. برای بازبینی دقیق در مورد چگونگی انجام ارزیابی امنیت نرم افزار وب نگاهی به اولین مقاله را در این مجموعه ارزیابی آسیب پذیری نرم افزار وب : اولین گام خود را به بسیار سایت .
اول تا: طبقه بندی و اولویت بندی شما آسیب پذیری نرم افزار
مرحله اول از روند بازسازی در درون وب توسعه نرم افزار است طبقه بندی و اولویت همه چیز که باید در برنامه یا وب ثابت سایت. از سطح بالا به دو کلاس از آسیب پذیری های وجود دارد: توسعه اشتباهات و خطاهای پیکربندی. آسیب پذیری وب سایت برنامه توسعه هستند کسانی هستند که از طریق مفهوم اچ و برنامه نویسی نرم افزار به عنوان نام می گوید. اینها مسائل باقی مانده در داخل کد واقعی یا گردش کار برنامه، که توسعه دهندگان به آدرس داشته باشند. این نوع از اشتباهات می تواند بیشتر فکر، زمان و منابع برای اصلاح را اغلب ولی نه همیشه. خطاهای پیکربندی کسانی که نیاز به سیستم تنظیمات قابل تغییر، خدمات به مسدود کردن و غیره هستند. بسته به چگونگی ساختار سازمان خود، این آسیب پذیری های ممکن است یا نه ممکن است توسط توسعه دهندگان خود را انجام می شود. اغلب آنها می تواند رسیدگی توسط نرم افزار و یا زیرساخت های مدیران. در هر صورت خطاي پيكربندي در بسیاری از موارد، مستقیما سرعت را می توان،.
در این نقطه در وب برنامه توسعه و بازسازی روند آن & #39; زمان ها همه از uncoovered آسیب پذیری های فنی و منطق کسب و کار در ارزیابی اولویت بندی. در این فرایند ساده با شما اول لیست خود را مهم ترین آسیب پذیری های برنامه با بیشترین پتانسیل تاثیر منفی بر روی سیستم های مهم برای سازمان خود، و سپس فهرست آسیب پذیری نرم افزار دیگر را به ترتیب نزولی براساس تاثیر خطر و کسب و کار.
Roadmap بازسازی قابل دسترسی
یک بار توسعه نرم افزار آسیب پذیری های طبقه بندی و اولویت بندی شده اند، گام بعدی در توسعه برنامه کاربردی وب این است که چه مدت آن را به پیاده سازی رفع را برآورد. اگر شما & آشنا با وب برنامه توسعه و تجدید نظر در چرخه، #39;; s & #39 ایده های خوبی را در خود توسعه دهندگان برای این بحث. نه اینجا بیش از حد دانه دانه کنید. ایده این است که گرفتن یک ایده از چه مدت روند خواهد شد، و کار بازسازی جریان بر وقت گیر ترین و بحرانی ترین آسیب پذیری نرم افزار اول. زمان و یا دشواری تخمین می زند، آسان، متوسط و سخت به سادگی می تواند. و بازسازی نه تنها با آسیب پذیری نرم افزار که بیشترین خطر در برخواهد داشت، اما کسانی که طولانی ترین زمان برای اصلاح را نیز آغاز خواهد شد. به عنوان مثال، در رفع آسیب پذیری نرم افزار پیچیده ای است که می تواند مدت زمان معقول برای اولین تعمیر و صبر کنید تا کار نقص رسانه های half-dozen می تواند در بعد از ظهر تصحیح را شروع کنید. پس از این روند در توسعه برنامه کاربردی وب، شما خواهد شد به دام نیاز به تمدید زمان توسعه قرار می گیرند، یا rollout برروی نرم افزار دلیل تاخیر آن & #39; ها گرفته شده بیش از انتظار می رود برای رفع تمام معایب مربوط به امنیت.
این فرآیند نیز برای پیگیری عالی برای حسابرسان و توسعه دهندگان در توسعه برنامه کاربردی وب فراهم می کند: شما در حال حاضر نقشه راه قابل دسترسی برای ردیابی است. و پیشرفت این حفره های امنیتی در حالی که جریان توسعه مطمئن هموار ساخت را کاهش می دهد.
آن & #39 به ارزش اشاره که که هیچ مشکلی با منطق کسب و کار شناسایی شده در ارزیابی باید با دقت در مرحله priorization وب توسعه نرم افزار در نظر گرفته شود. بسیاری از بار، چون شما & #39; دوباره با منطق راه خرید و فروش نرم افزار در واقع جریان-دقت چگونه این آسیب پذیری اجرای حل شده اند را در نظر بگيريد. چه نظر می رسد مانند ثابت ساده می تواند تبدیل به بسیار پیچیده است. پس می خواهید & #39; خواهید به همکاری نزدیک با توسعه دهندگان خود را تیم های امنیتی و مشاوران به بهترین روال تصحیح خطا منطق کسب و کار در امکان توسعه و برآورد دقیق از چه مدت از آن خواهد شد به درمان.
علاوه بر این، اولویت بندی و طبقه بندی آسیب پذیری نرم افزار برای بازسازی منطقه در توسعه برنامه کاربردی وب که مشاوران نقشی اساسی در کمک به رهبری سازمان خود مسیر موفق می توانید در بازی است. برخی از کسب و کار دید بیشتر مقرون به صرفه به مشاور امنیتی به ارائه چند ساعت مشاوره در مورد چگونه به درمان آسیب پذیری نرم افزار؛ این توصیه در اغلب shaves صدها ساعت از روند بازسازی در طول توسعه برنامه کاربردی وب.
یکی از مشکلات شما می خواهید برای جلوگیری از استفاده از مشاوران در توسعه برنامه کاربردی وب، با این حال، عدم ایجاد انتظارات مناسب است. آنها اغلب به ارائه اطلاعات مورد نیاز سازمان ها در مورد چگونگی رفع مشکل را که غفلت در حالی که بسیاری از مشاوران فهرست آسیب پذیری نرم افزار است که نیاز به ثابت را ارائه خواهد شد. آن & #39 مهم ایجاد انتظار با کارشناسان خود را اعم از خانه یا برون سپاری برای ارائه اطلاعات بیشتر در مورد چگونگی رفع نقص امنیتی. چالش، اما بدون جزئیات مناسب، آموزش و پرورش و هدایت، که توسعه دهندگان ایجاد vulnerable.txt که در وب نرم افزار توسعه چرخه نمی دانم چگونه به رفع مشکل کد است. که & #39; s چرا داشتن که مشاور امنیتی نرم افزار موجود برای توسعه دهندگان و یا یکی از اعضای تیم امنیتی بسیار مهم است تا مطمئن شوید که آنها & #39; دوباره رفتن در مسیر حق. در این روش شما جدول زمانی توسعه برنامه کاربردی وب را برآورده و مشکلات امنیتی ثابت هستند.
تست و ارزیابی: مستقل را مطمئن نرم افزار آسیب پذیری اند شده ثابت
زمانی که مرحله بعدی از چرخه عمر توسعه برنامه کاربردی وب در دسترس است و قبلا شناسایی آسیب پذیری های (امیدوارم) شده اند mended شده توسط توسعه دهندگان آن & #39 زمان تأیید ثبت نرم افزار با ارزیابی مجدد یا آزمایش رگرسیون. برای این ارزیابی آن; s & #39 بسیار مهم است که توسعه دهندگان نیستند تنها آنهایی که با ارزیابی کد خود را به اتهام. آنها در حال حاضر تأیید خود را باید تکمیل شده. چون چند بار شرکت های اشتباه از اجازه می دهد توسعه دهندگان test برنامه های خود را در مرحله ارزیابی مجدد چرخه عمر توسعه برنامه کاربردی وب این نقطه بالا بردن، است. و پس از تایید پیشرفت آن اغلب توسعه دهندگان نه تنها به رفع معایب ثابت برای بازسازی نشد اما آنها نیز معرفی آسیب پذیری نرم افزار اضافی و بسیاری دیگر از اشتباهات که نیاز به ثابت است. که & #39; s چرا آن & #39; ها حیاتی است که یک نهاد مستقل برون سپاری که آیا تیم خانه یا یک مشاور، بررسی کد برای اطمینان از همه چیز انجام شده درست است.
دیگر مناطق از برنامه کاهش ریسک
در حالی که شما کنترل کامل بر دسترسی به برنامه های سفارشی خود را در توسعه برنامه کاربردی وب، آسیب پذیری نرم افزار همه به اندازه کافی سریع به استقرار غیر منقول می توان ثابت مهلت. و کشف آسیب پذیری است که می تواند هفته به اصلاح در برنامه در حال حاضر در تولید nerve-wracking است. در موقعیت هایی از این، شما همیشه کنترل بر کاهش خطرات امنیتی برنامه وب را ندارد. این امر به ویژه برای برنامه های کاربردی شما خرید است. آسیب پذیری نرم افزار است که توسط فروشنده unpatched برای مدت زمان طولانی وجود خواهد داشت. به جای اینکه کار کند که سطح بالایی از خطر, که شما در نظر گرفتن راه های دیگر برای کاهش خطرات را توصیه می کنیم. این می تواند شامل برنامه های کاربردی از مناطق دیگر از شبکه، محدود کردن دسترسی تا حد امکان در نرم افزار آسیب دیده و یا تغییر تنظیمات برنامه، در صورت امکان پیوند. ایده این است که نگاهی به نرم افزار و معماری سیستم شما راه های دیگر برای کاهش خطر در حالی که شما صبر کنید برای تعمیر. شما حتی ممکن است در نظر نصب وب نرم افزار دیوار آتش (فایروال گردد به خصوص طراحی شده برای برنامه های کاربردی وب امن و اجرای سیاست های امنیتی خود را) که شما می توانید یک راه حل موقت معقول. در حالی که شما هنوز در چنین فایروال ها به منظور کاهش تمام خطرات را به طور نامحدود تکیه می کنند، آنها می توانید سپر کافی برای شما زمان خرید در حالی که ایجاد تیم توسعه وب نرم افزار تعمیر را ارائه می کنند.
همانطور که شما را دیده اند یا آسیب پذیری وب نرم افزار در طول چرخه توسعه وب درخواست همکاری میان توسعه دهندگان QA تست، مدیران امنیت های تیم برنامه نیاز دارد. فرآیندهای مرتبط می تواند دشوار به نظر می رسد، اما واقعیت این است که با اجرای این پروسه می خواهید & #39; مقرون به طور موثر کاهش خطر ابتلا به حملات کاربرد سطح. توسعه برنامه کاربردی وب پیچیده است و این روش ارزان تر از مهندسی مجدد برنامه ها و سیستم های مرتبط پس از اعزام آنها & #39; دوباره به تولید است.
که & s #39; چرا بهترین رویکرد به امنیت وب نرم افزار است که آگاهی امنیتی میان نويسان و تضمین کیفیت ساخت و به بهترین شیوه از طریق خود وب برنامه توسعه زندگی چرخه-از معماری آن را از طریق آن زندگی در تولید. رسیدن به این سطح امنیتی می خواهد تمرکز نصب بعدی موثر کنترل برای رسیدن مستمر برنامه مراجعه کنیدامنیت . مقاله سوم و نهایی شما را با چارچوب شما نیاز به ایجاد فرهنگ توسعه است که توسعه و بسیار امن و در دسترس برنامه های کاربردی-همه از زمان منتقل می شود ارائه می کنند.
web
یک بار اجرای شما & #39; و ارزیابی امنیتی به عنوان بخشی از توسعه برنامه کاربردی وب آن & #39; تکمیل ثانیه زمان برای رفتن مسیر از همه remediating مشکلات امنیتی شما کشف. در این مرحله توسعه دهندگان خود را آزمایشکنندگان تضمین کیفیت حسابرسان و مدیران امنیتی همه نزدیک به ترکیب امنیت به فرآیندهای فعلی چرخه عمر توسعه نرم افزار به منظور از بین بردن برنامه همکاری می باید آسیب پذیری. و با خود وب نرم افزار امنیتی ارزیابی گزارش در دست، شما احتمالا یک لیست طولانی از مسائل امنیتی است که نیاز به خطاب هم: کم و متوسط و آسیب پذیری نرم افزار بالا; پیکربندی gaffes؛ و موارد در آن اشتباهات منطق کسب و کار ایجاد خطرات امنیتی. برای بازبینی دقیق در مورد چگونگی انجام ارزیابی امنیت نرم افزار وب نگاهی به اولین مقاله را در این مجموعه ارزیابی آسیب پذیری نرم افزار وب : اولین گام خود را به بسیار سایت .
اول تا: طبقه بندی و اولویت بندی شما آسیب پذیری نرم افزار
مرحله اول از روند بازسازی در درون وب توسعه نرم افزار است طبقه بندی و اولویت همه چیز که باید در برنامه یا وب ثابت سایت. از سطح بالا به دو کلاس از آسیب پذیری های وجود دارد: توسعه اشتباهات و خطاهای پیکربندی. آسیب پذیری وب سایت برنامه توسعه هستند کسانی هستند که از طریق مفهوم اچ و برنامه نویسی نرم افزار به عنوان نام می گوید. اینها مسائل باقی مانده در داخل کد واقعی یا گردش کار برنامه، که توسعه دهندگان به آدرس داشته باشند. این نوع از اشتباهات می تواند بیشتر فکر، زمان و منابع برای اصلاح را اغلب ولی نه همیشه. خطاهای پیکربندی کسانی که نیاز به سیستم تنظیمات قابل تغییر، خدمات به مسدود کردن و غیره هستند. بسته به چگونگی ساختار سازمان خود، این آسیب پذیری های ممکن است یا نه ممکن است توسط توسعه دهندگان خود را انجام می شود. اغلب آنها می تواند رسیدگی توسط نرم افزار و یا زیرساخت های مدیران. در هر صورت خطاي پيكربندي در بسیاری از موارد، مستقیما سرعت را می توان،.
در این نقطه در وب برنامه توسعه و بازسازی روند آن & #39; زمان ها همه از uncoovered آسیب پذیری های فنی و منطق کسب و کار در ارزیابی اولویت بندی. در این فرایند ساده با شما اول لیست خود را مهم ترین آسیب پذیری های برنامه با بیشترین پتانسیل تاثیر منفی بر روی سیستم های مهم برای سازمان خود، و سپس فهرست آسیب پذیری نرم افزار دیگر را به ترتیب نزولی براساس تاثیر خطر و کسب و کار.
Roadmap بازسازی قابل دسترسی
یک بار توسعه نرم افزار آسیب پذیری های طبقه بندی و اولویت بندی شده اند، گام بعدی در توسعه برنامه کاربردی وب این است که چه مدت آن را به پیاده سازی رفع را برآورد. اگر شما & آشنا با وب برنامه توسعه و تجدید نظر در چرخه، #39;; s & #39 ایده های خوبی را در خود توسعه دهندگان برای این بحث. نه اینجا بیش از حد دانه دانه کنید. ایده این است که گرفتن یک ایده از چه مدت روند خواهد شد، و کار بازسازی جریان بر وقت گیر ترین و بحرانی ترین آسیب پذیری نرم افزار اول. زمان و یا دشواری تخمین می زند، آسان، متوسط و سخت به سادگی می تواند. و بازسازی نه تنها با آسیب پذیری نرم افزار که بیشترین خطر در برخواهد داشت، اما کسانی که طولانی ترین زمان برای اصلاح را نیز آغاز خواهد شد. به عنوان مثال، در رفع آسیب پذیری نرم افزار پیچیده ای است که می تواند مدت زمان معقول برای اولین تعمیر و صبر کنید تا کار نقص رسانه های half-dozen می تواند در بعد از ظهر تصحیح را شروع کنید. پس از این روند در توسعه برنامه کاربردی وب، شما خواهد شد به دام نیاز به تمدید زمان توسعه قرار می گیرند، یا rollout برروی نرم افزار دلیل تاخیر آن & #39; ها گرفته شده بیش از انتظار می رود برای رفع تمام معایب مربوط به امنیت.
این فرآیند نیز برای پیگیری عالی برای حسابرسان و توسعه دهندگان در توسعه برنامه کاربردی وب فراهم می کند: شما در حال حاضر نقشه راه قابل دسترسی برای ردیابی است. و پیشرفت این حفره های امنیتی در حالی که جریان توسعه مطمئن هموار ساخت را کاهش می دهد.
آن & #39 به ارزش اشاره که که هیچ مشکلی با منطق کسب و کار شناسایی شده در ارزیابی باید با دقت در مرحله priorization وب توسعه نرم افزار در نظر گرفته شود. بسیاری از بار، چون شما & #39; دوباره با منطق راه خرید و فروش نرم افزار در واقع جریان-دقت چگونه این آسیب پذیری اجرای حل شده اند را در نظر بگيريد. چه نظر می رسد مانند ثابت ساده می تواند تبدیل به بسیار پیچیده است. پس می خواهید & #39; خواهید به همکاری نزدیک با توسعه دهندگان خود را تیم های امنیتی و مشاوران به بهترین روال تصحیح خطا منطق کسب و کار در امکان توسعه و برآورد دقیق از چه مدت از آن خواهد شد به درمان.
علاوه بر این، اولویت بندی و طبقه بندی آسیب پذیری نرم افزار برای بازسازی منطقه در توسعه برنامه کاربردی وب که مشاوران نقشی اساسی در کمک به رهبری سازمان خود مسیر موفق می توانید در بازی است. برخی از کسب و کار دید بیشتر مقرون به صرفه به مشاور امنیتی به ارائه چند ساعت مشاوره در مورد چگونه به درمان آسیب پذیری نرم افزار؛ این توصیه در اغلب shaves صدها ساعت از روند بازسازی در طول توسعه برنامه کاربردی وب.
یکی از مشکلات شما می خواهید برای جلوگیری از استفاده از مشاوران در توسعه برنامه کاربردی وب، با این حال، عدم ایجاد انتظارات مناسب است. آنها اغلب به ارائه اطلاعات مورد نیاز سازمان ها در مورد چگونگی رفع مشکل را که غفلت در حالی که بسیاری از مشاوران فهرست آسیب پذیری نرم افزار است که نیاز به ثابت را ارائه خواهد شد. آن & #39 مهم ایجاد انتظار با کارشناسان خود را اعم از خانه یا برون سپاری برای ارائه اطلاعات بیشتر در مورد چگونگی رفع نقص امنیتی. چالش، اما بدون جزئیات مناسب، آموزش و پرورش و هدایت، که توسعه دهندگان ایجاد vulnerable.txt که در وب نرم افزار توسعه چرخه نمی دانم چگونه به رفع مشکل کد است. که & #39; s چرا داشتن که مشاور امنیتی نرم افزار موجود برای توسعه دهندگان و یا یکی از اعضای تیم امنیتی بسیار مهم است تا مطمئن شوید که آنها & #39; دوباره رفتن در مسیر حق. در این روش شما جدول زمانی توسعه برنامه کاربردی وب را برآورده و مشکلات امنیتی ثابت هستند.
تست و ارزیابی: مستقل را مطمئن نرم افزار آسیب پذیری اند شده ثابت
زمانی که مرحله بعدی از چرخه عمر توسعه برنامه کاربردی وب در دسترس است و قبلا شناسایی آسیب پذیری های (امیدوارم) شده اند mended شده توسط توسعه دهندگان آن & #39 زمان تأیید ثبت نرم افزار با ارزیابی مجدد یا آزمایش رگرسیون. برای این ارزیابی آن; s & #39 بسیار مهم است که توسعه دهندگان نیستند تنها آنهایی که با ارزیابی کد خود را به اتهام. آنها در حال حاضر تأیید خود را باید تکمیل شده. چون چند بار شرکت های اشتباه از اجازه می دهد توسعه دهندگان test برنامه های خود را در مرحله ارزیابی مجدد چرخه عمر توسعه برنامه کاربردی وب این نقطه بالا بردن، است. و پس از تایید پیشرفت آن اغلب توسعه دهندگان نه تنها به رفع معایب ثابت برای بازسازی نشد اما آنها نیز معرفی آسیب پذیری نرم افزار اضافی و بسیاری دیگر از اشتباهات که نیاز به ثابت است. که & #39; s چرا آن & #39; ها حیاتی است که یک نهاد مستقل برون سپاری که آیا تیم خانه یا یک مشاور، بررسی کد برای اطمینان از همه چیز انجام شده درست است.
دیگر مناطق از برنامه کاهش ریسک
در حالی که شما کنترل کامل بر دسترسی به برنامه های سفارشی خود را در توسعه برنامه کاربردی وب، آسیب پذیری نرم افزار همه به اندازه کافی سریع به استقرار غیر منقول می توان ثابت مهلت. و کشف آسیب پذیری است که می تواند هفته به اصلاح در برنامه در حال حاضر در تولید nerve-wracking است. در موقعیت هایی از این، شما همیشه کنترل بر کاهش خطرات امنیتی برنامه وب را ندارد. این امر به ویژه برای برنامه های کاربردی شما خرید است. آسیب پذیری نرم افزار است که توسط فروشنده unpatched برای مدت زمان طولانی وجود خواهد داشت. به جای اینکه کار کند که سطح بالایی از خطر, که شما در نظر گرفتن راه های دیگر برای کاهش خطرات را توصیه می کنیم. این می تواند شامل برنامه های کاربردی از مناطق دیگر از شبکه، محدود کردن دسترسی تا حد امکان در نرم افزار آسیب دیده و یا تغییر تنظیمات برنامه، در صورت امکان پیوند. ایده این است که نگاهی به نرم افزار و معماری سیستم شما راه های دیگر برای کاهش خطر در حالی که شما صبر کنید برای تعمیر. شما حتی ممکن است در نظر نصب وب نرم افزار دیوار آتش (فایروال گردد به خصوص طراحی شده برای برنامه های کاربردی وب امن و اجرای سیاست های امنیتی خود را) که شما می توانید یک راه حل موقت معقول. در حالی که شما هنوز در چنین فایروال ها به منظور کاهش تمام خطرات را به طور نامحدود تکیه می کنند، آنها می توانید سپر کافی برای شما زمان خرید در حالی که ایجاد تیم توسعه وب نرم افزار تعمیر را ارائه می کنند.
همانطور که شما را دیده اند یا آسیب پذیری وب نرم افزار در طول چرخه توسعه وب درخواست همکاری میان توسعه دهندگان QA تست، مدیران امنیت های تیم برنامه نیاز دارد. فرآیندهای مرتبط می تواند دشوار به نظر می رسد، اما واقعیت این است که با اجرای این پروسه می خواهید & #39; مقرون به طور موثر کاهش خطر ابتلا به حملات کاربرد سطح. توسعه برنامه کاربردی وب پیچیده است و این روش ارزان تر از مهندسی مجدد برنامه ها و سیستم های مرتبط پس از اعزام آنها & #39; دوباره به تولید است.
که & s #39; چرا بهترین رویکرد به امنیت وب نرم افزار است که آگاهی امنیتی میان نويسان و تضمین کیفیت ساخت و به بهترین شیوه از طریق خود وب برنامه توسعه زندگی چرخه-از معماری آن را از طریق آن زندگی در تولید. رسیدن به این سطح امنیتی می خواهد تمرکز نصب بعدی موثر کنترل برای رسیدن مستمر برنامه مراجعه کنیدامنیت . مقاله سوم و نهایی شما را با چارچوب شما نیاز به ایجاد فرهنگ توسعه است که توسعه و بسیار امن و در دسترس برنامه های کاربردی-همه از زمان منتقل می شود ارائه می کنند.
