当我们谈到网络安全的未来时,应用开发安全是绕不开的一环。最近的一项行业研究表明,它是过去一年中增长最快的网络安全技能。未来五年,对应用安全开发技能的需求预计将增长164%。相应地,该职位的职位空缺总数将从2020年的29,635个增加到几年后的48,601个。那么,应用开发安全技能到底有哪些呢?其快速增长的原因是什么?应用开发安全有哪些技巧?首先,应用开发安全技能是通过发现和修复漏洞来加强应用的防御能力。这个过程通常在应用上线前的开发阶段,但有时在应用上线后也需要。除了应用程序安全测试(AST),应用程序开发安全技能还包括以下内容:静态应用程序安全测试(SAST)。这种方法要求防御者对应用程序的架构有一定的了解。他们可以使用这些知识来报告源代码中的弱点。动态应用程序安全测试(DAST)。与SAST相比,DAST假设防御者完全不知道应用程序的代码,其目的是发现应用程序运行状态中的潜在漏洞。交互式应用程序安全测试(IAST)。这种方法是SAST和DAST的结合。为什么需要应用程序开发安全技能?对应用程序开发安全技能的不断增长的需求反映了两个持续的趋势。世界正变得越来越流动。企业和机构对移动设备的投入越来越多,用户越来越习惯于在移动终端上获取服务。在这个过程中,企业需要具备应用开发安全技能的人员来保护应用安全,以确保为庞大的用户群提供安全的移动性能。应用程序防御系统中的漏洞会削弱用户和开发人员之间的信任。像这样的漏洞在移动应用程序中很常见。在2020年的研究中分析的iOS和Android应用程序中,近四分之三未通过基本安全测试。超过五分之四(83%)的受调查应用程序至少存在一个漏洞,研究中91%的iOS应用程序和95%的Android应用程序都存在漏洞以确保业务安全。这些漏洞对企业构成威胁。薄弱的服务器端控制、不安全的数据存储和泄露的密码为外部攻击者窃取信息敞开了大门。潜在客户可能不愿与应用程序开发安全性差且遭受数据泄露的公司合作。当然,合作的前提是公司在支付维修费、律师费和其他泄漏造成的损失后,还能继续经营。更重要的是,一些客户可能没有时间等你部署应用程序开发安全。客户可能会说,他们之前合作的应用程序和公司在受到攻击之前编写了更安全的代码。在某些情况下,来自客户的压力与来自监管合规机构的压力相当。这表明应用程序开发安全正在成为帮助企业在与客户合作的初始阶段保持信任的一种手段,而不是在问题被公开披露并产生不良后果之后。开发人员最佳实践工作环境中所需的防御技能也会随着时间而改变。开发人员工具链中内置的软件组件分析工具和防御性测试可能会在未来几年内取代旧的AST方法。行业专家预测,到2022年,自动化解决方案将能够修复SAST工具发现的10%的漏洞。这些预测显示了应用程序开发安全领域的趋势。但它们不会影响开发人员在开发安全应用程序时可以使用的基本做法。例如,开发人员需要意识到他们很少需要从头开始编写代码。他们不必要求他们做好防守。相反,他们可以使用安全框架来推动代码向前发展。他们还应该确保他们使用的是最新版本的第三方代码或库。开发人员还应该重视团队合作的力量。他们可以与安全架构师和运营团队联手进行安全威胁演练。此过程不仅有助于发现和分类潜在威胁,还有助于促进沟通和相互理解,这是构建DevSecOps(开发、安全、运营)文化的基础。面向未来的应用开发安全正如我们前面所说,应用开发安全是企业未来生存的要素之一。实施应用程序安全的工具和方法可能会发生变化,但安全的基本原则在未来数年及以后仍将保持相关性。
