应用安全的重要性!再怎么强调都不过分的5大理由

简介: 在当今的商业领域,应用安全的重要性已经成为影响公司品牌感知,甚至盈亏的首要因素。然而,不知为何,尽管数字化领域呈现指数型增长,安全协议却很少回应云或其他软件环境中存储的重要信息量。 在近期一篇名为《为什么应用安全是商业准则》的白皮书中,IDG 与 Veracode 强调了应用安全(AppSec

本文作者 John Montesi 是 B2B 及 SaaS 行业专家,喜欢用可爱的语言解释复杂的概念。他相信内容营销是大势所趋,有时也相信鬼故事,虽然拿不出什么证明。

在当今的商业领域,应用安全的重要性已经成为影响公司品牌感知,甚至盈亏的首要因素。然而,不知为何,尽管数字化领域呈现指数型增长,安全协议却很少回应云或其他软件环境中存储的重要信息量。

在近期一篇名为《为什么应用安全是商业准则》的白皮书中,IDG 与 Veracode 强调了应用安全(AppSec)对于企业安全格局如此重要的五大原因:

1. 公司合并导致漏网之鱼

去年,公司合并数量达到七年来的峰值,这既是企业合作的一种方式,也代表了企业们奋力突出重围的勃勃雄心。然而,激动之余,有一个重要的细节却常常被人们忽略。白皮书中指出,典型的市值 5 亿美元(或以上)的企业,开发了近 3100 款应用,占其总体应用框架的 40% 。如此规模的两三个企业如果合并,很可能会有数百款应用漏掉检查,产生安全裂缝。如果你无法找到这些安全漏洞,又谈何修复它呢?因此,全局的应用安全必须考虑所有应用。

2. 这是一场数字游戏

这是一个老掉牙的悲伤故事:一些负责次要任务的次要应用导致了大规模的安全漏洞。即便是合并之前,许多公司通常会依赖数千款应用开展业务。如果其中有一个应用的安全措施不到位,专门的安全测试可能也无法查出来。其实,应用安全是一个“全或无”问题。现而今,生产环境中使用的应用数量如此庞大,还有数量更甚的黑客伺机牟利,作为应用供应商的你从来都不占优势。除非将应用安全视作企业的首要任务,否则,疏忽大意总是会导致漏洞。

3. 名誉无价

执行主管们可能理解全局应用安全的重要性,却找不到合适的理由为安全投入辩护。目前,公司们平均投入 165 万美元维护 37% 的应用程序安全,若要覆盖所有应用,投入可能会提高三倍。然而,24% 的安全漏洞会造成至少 10 万美元的损失,而更有 7% 的安全漏洞会导致 1 千万美元以上的损失。可见,价值定位还是很有说服力的。如果顽固守旧的企业仍然选择减少应用安全支出,不认真考虑这些风险回报因素,那么他们至少应该知道,金钱损失仅仅是安全漏洞的直接影响。而由安全漏洞造成的长期名誉损害通常会放大,导致许多无形的损失与业务流失。

4. 时间就是一切

业务程序如果不是万无一失,就有可能遭受潜在攻击。尽管如此,开发人员却仍旧因循守旧,在开发内部应用时从不将安全因素纳入生命周期。除非公司文化对安全开发敞开怀抱,首席信息安全官 ( CISO ) 们就无法确保内部应用的安全。然而,开发人员常常面临着截止期限的压力,如果公司的安全预期模棱两可,跳过重要的测试环境,往往是节省开发时间的简便方法。

5. 客户偏爱移动应用

客户喜欢移动应用。因此,供应商往往投其所好。内部开发的应用程序往往在一年内就会增大 12%,而这些应用开发时所处的文化决定了它将来是成功还是灾难。安全开发实践,应该像高品质用户界面,潜在投资回报一样,成为应用预期的重要组成部分。然而,现实却是,供应商们以前所未有的速度创建越来越多的移动应用,如果这些应用不够安全,就等于给黑客开启了方便之门。

意识到应用安全的重要性只是降低不必要风险的第一步。考虑到新的内部应用开发模式以及猖獗的网络犯罪现状,忽视应用安全就和夜里睡觉不锁门一样,是违反直觉的行为。

Veracode 与 IDG 的白皮书中囊括了数十份行业报告,并重点论述了安全企业运维的重要趋势以及安全业务实践的需求。下载完整的白皮书可以学到更多内容,也千万不要错过 Veracode CISO 延伸工具包

原文地址:https://www.veracode.com/blog/2015/10/5-reasons-why-importance-application-security-cannot-be-overstated-sw

本文转自 OneAPM 官方博客

相关文章
|
7月前
|
机器学习/深度学习 人工智能 安全
探索网络安全技能差距的根本原因
探索网络安全技能差距的根本原因
探索网络安全技能差距的根本原因
|
9月前
|
安全
震惊:全面拆解dapp上线三天、 规则漏洞导致资金全部损失
震惊:全面拆解dapp上线三天、 规则漏洞导致资金全部损失
95 6
|
9月前
|
安全 网络安全
IP的纯净度:评判标准与重要性
**IP纯净度关乎网络行为的安全与可靠性。高纯净度IP指独立、真实、无不良记录的地址。评估标准包括:** - **IP来源**:正规ISP的IP更纯净。 - **历史记录**:检查是否涉及违规行为或在黑名单中。 - **技术特征**:支持SSL,匿名性高,连接稳定快速的IP更佳。 - **用户反馈**:用户评价反映IP的实际表现和信誉。 综合考量这些因素,能确保选择到安全可靠的IP地址。
|
10月前
|
安全 Linux Android开发
【答案】2023年国赛信息安全管理与评估二阶段答案
【答案】2023年国赛信息安全管理与评估二阶段答案
【答案】2023年国赛信息安全管理与评估二阶段答案
|
10月前
|
安全 网络协议 网络安全
【答案】2023年国赛信息安全管理与评估理论技能答案三阶段
【答案】2023年国赛信息安全管理与评估理论技能答案三阶段
|
10月前
|
项目管理 数据库
简述软件质量的概念及质量保障体系,简述SQA的基本目标,简述CMM的分级结构及其主要特征,简述软件质量标准等级及适用范围
简述软件质量的概念及质量保障体系,简述SQA的基本目标,简述CMM的分级结构及其主要特征,简述软件质量标准等级及适用范围
280 0
|
算法 Java API
【算法攻坚】遇到第一道“困难”级别的题目
【算法攻坚】遇到第一道“困难”级别的题目
195 0
【算法攻坚】遇到第一道“困难”级别的题目
|
SEO
网站运营中最为基本的因素是哪些?要注意什么?
网站运营是一个贯穿网站始末的过程中,对于运营站长而言,运营的开始并非是从网站正式上线,开始使用为起点,而是从最初网站策划就已经开始。网站前期的策划,定位,布局对于网站后期运营起到决定性的作用,其中任何一个环节出现错误,后期采用再完美的运营手段都无法补救,注定运营以失败结束。 在网站运营时,除了上述<span style="color: rgba(38, 38, 38, 1)"><a rel="dofollow" href="https://www.fgba.net/" title="富贵论坛"><span style="color: rgba(38, 38, 38, 1)">富贵论坛</sp
187 0