当前位置:主页 > 数据安全 >

高防IP_游戏防御盾_如何防

时间:2021-06-12 00:27来源:E度网络 作者:E度网络 点击:

高防IP_游戏防御盾_如何防

现在几乎每一个软件开发团队都在使用开源代码、外包开发、商用现货(COTS)软件或其他形式的外包软件,因此,了解适当的第三方安全性的需求从未像现在这样强烈。第三方安全系统的第三方软件的安全性比第三方软件更可靠。面对越来越多的针对易受攻击的应用程序,ciso必须确保其外包软件真正安全。如果没有对第三方软件分析的各种方法进行全面评估,就不可能有信心地报告整个系统的安全性。下面,美国高防cdn多久生效,我们将详细了解一些可用于确认第三方产品安全性的选项:供应商自我评估在第三方开发领域,供应商自我评估是相当标准的,虽然它们可能很有见地,但它们的结果往往被赋予了太多的权重。这些评估旨在确定软件的安全强度,包括软件供应商必须回答的一系列问题。问题通常包括代码本身、公司和整个开发环境的各个方面。不幸的是,在mininet防御ddos,自我评估有几个缺点,ddos防御论坛,其中最重要的是它们是由软件生产商提供的,而不是由独立的一方提供的。即使生产商在法律上证明其调查的准确性,对任何主观问题的回答也必须持保留态度。vBSIMM和SIG虽然BSIMM(Build Security in Maturity-in-Maturity Model)是一组优秀的安全基准,但这是一个详尽的过程,不是每个软件公司都能适应的。因此,vBSIMM(在本例中是"供应商"的"v")被创建为一种获取BSIMM几个最重要和客观方面并将其应用于软件供应商的方法。利用vBSIMM并不能明确地洞察任何特定的软件,但它将为CISOs提供关于整个公司的有价值的信息,ddos防御清洗过程,表明他们何时需要警惕,何时需要推动新的供应商。同样,共享信息收集(SIG)的目的是为风险评估过程注入标准化、速度和效率。SIG包括一个标准化的调查问卷和一套一致同意的程序(AUP),它们结合起来形成了一种"信任,但验证"的方法。调查问卷每年更新一次,以确保包括新出现的风险控制措施,AUP允许外部方验证答案,并确定在现场评估期间要监控的风险控制区域。SIG虽然彻底,但它与vBSIMM类似,因为它只能提供供应商安全策略的概述,而不能洞察任何特定的软件漏洞。手动渗透测试手动渗透测试(即安全专业人员在应用程序工作时手动尝试渗透)通常是第三方应用程序的要求。这是因为存在某些强大的漏洞,比如跨站点请求伪造,其他测试手段都无法捕获。手动测试对于针对非常特定的缺陷类别进行测试是非常理想的,ddos攻击防御走势图,但是对于所有可能的漏洞来说,它太耗费资源。动态分析动态扫描将分析第三方软件,探测攻击面,然后故意向输入字段提供恶意数据,以发现任何体系结构缺陷或漏洞。这些分析对于发现诸如SQL注入和跨站点脚本等引人注目的漏洞非常理想。由于动态扫描是在应用程序运行时运行的,所以它们还可以发现其他类型的扫描可能遗漏的身份验证和配置问题。静态测试和二进制静态测试静态应用程序测试,有时称为"白盒测试",扫描应用程序而不执行代码。扫描首先绘制一个应用程序的模型,以了解信息将如何流经它。然后它使用这个映射来测试在扫描工作应用程序时不一定会捕捉到的漏洞。二进制静态测试在处理第三方软件时更有用,因为它可以在不访问源代码的情况下执行此任务。二进制测试是一个巨大的进步,以至于像金融服务信息共享和分析中心(FS-ISAC)这样有影响力的组织已经推荐二进制静态分析作为保护第三方代码的完整解决方案的一部分。找到合适的组合完美的第三方安全解决方案将结合评估、测试和扫描的各个方面,确保软件在投入生产前没有重大漏洞。CISOs不能指望第三方总是做正确的事情,所以在选择提供商时要尽职尽责,再加上为外包代码构建的安全扫描解决方案,这一点至关重要。图片来源:Flickr

推荐文章
最近更新