Log4Shell 可能是有史以来发现的最具破坏性的软件缺陷之一,它的出现证明不断对现有网络安全方法进行审查是正确的,也说明仅靠严格地从加强网络边界角度来考虑安全性并不能完全保证网络安全。
在云计算仍在蓬勃发展的时代,Log4Shell也暴露了应用程序安全性和可视性之间存在的巨大差距。
在Log4Shell紧急事件发生近6个月后,仍有大量公司受到影响就是明证。这可以归结为:漏洞管理不足和缺乏可见性阻碍了识别和修补第三方软件和开发环境中存在的安全隐患。
因此,数以百万计的应用程序仍然处于危险之中。分析人士预测,Log4Shell 的影响将持续数年。
保护意味着保护复杂、分布式和高速的云架构。实现这一目标需要公司采用现代开发堆栈,为安全管理人员提供更高的可观察性和卓越的漏洞管理。
稳妥而又可行的安全检测工具
随着对开源组件的大量引用,开源库中的安全缺陷很容易在不被发现的情况下引入企业的软件系统当中,因此在开发流程中通过软件成分分析工具(SCA)对开源代码库进行检测,以确定是否存在安全风险。这种方法可以在开发生命周期的早期识别漏洞。此外,SAST类工具可以有效发现自研代码中的缺陷和漏洞。
数据显示,如果将问题发现和修复代码移至编码阶段,可以为企业节省20%成本,而在产品发布后,修改缺陷成本则将增加五倍。这也是很多企业正在意识到的一点,因此更加愿意选择利用静态软件安全检测工具从源头减少bug的出现,减少修改错误的时间与成本。
SAST工具具有以下几个特点:
①可以在开发早期阶段检出缺陷,修复成本低;
②可以精确定位源代码中的潜在错误;
③代码覆盖率完整;
④易于使用,通用性高。
Secure Code Warrior联合创始人兼首席技术官Matias Madou博士表示:‘安全代码’已成为软件开发中‘高质量代码’的代名词,不仅仅是应用安全(AppSec)人员,开发团队和负责人也必须对代码的安全负责。
