创造拼写检查式安全
发布时间:2022-05-18 09:32:14 所属栏目:安全 来源:互联网
导读:思考安全问题的时候,拼写检查的概念也是十分有启发性的。当场改正的好处非常巨大能立即发现过程中的错误。更大的好处则是能看到建议的修正方案,因为重复的识别和修复过程是高度有效的学习工具。拼写检查能自我完善,越来越杰出。 软件安全测试的传统工作模
|
思考安全问题的时候,拼写检查的概念也是十分有启发性的。当场改正的好处非常巨大——能立即发现过程中的错误。更大的好处则是能看到建议的修正方案,因为重复的识别和修复过程是高度有效的学习工具。拼写检查能自我完善,越来越杰出。 软件安全测试的传统工作模式一成不变了好一段时间。研发团队写代码一直写到能放出一个完整版本,然后完整应用程序被投入测试;测试结果再返回研发团队进行查缺补漏。 显然,软件安全测试和安全培训都需要进行范式转换。作为回应,很多厂商热衷于抛出一个让人迷惑的术语:左移。这词儿源于瀑布式开发图表,里面的左移表示进入该过程前已嵌入测试。但这些厂商中大多数,左移的不过是调出与传统方式相同测试过程的“按钮”而已。 并不完全是范式转换 左移什么的都可以放下了,不如利用拼写检查式安全技术植入安全。这些工具活跃在开发环境内部,代码编写过程中就在做漏洞检查,对代码进行轻量级静态分析,在源头发现跨站脚本或SQL注入之类的常见问题。 此类工具的高级版本还提供教育性材料,向开发者解释所发现漏洞的本质及其利用方式,可用于清除漏洞的修复方案也有建议。有些还会在开发者确认后执行所选修复。漏洞就这样被现场发现、解释、修复了。 这种方法的好处显而易见。 1. 漏洞实时发现,开发者可立即修复问题,不用等到之后很久测试结果出来又再重开工程进行修复。采用这些工具的企业已经见证了开发生产力上15%的效率提升。这得益于在查找并清除误报,以及中断开发周期修复前版软件上的时间节省。成千上万美元的修复开销节省也是有报道的。 2. 互动过程成为了开发团队进行微学习的机会。这些工具教授开发人员常见漏洞的本质,提供从他们的代码中清除这些漏洞的模板。触手可及的学习过程比传统学习方法有着高得多的驻留率和影响。最终,常见错误从代码库中消失了。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐