开源Java框架带来的应用安全风险

安全
您是否了解一些开源Java框架的安全问题呢?例如,Struts、Hibernate、JavaEE。哪一个框架最安全,又有哪些措施可以提高它们的安全性?

Java安全风险是重所周知的,但是您是否了解一些开源Java框架的安全问题呢?例如,Struts、Hibernate、JavaEE。哪一个框架最安全,又有哪些措施可以提高它们的安全性?

只要开发者认真学习,许多开源Java框架都可以帮助完成应用开发。框架可以提高开发者生产力,但是大多数人都必须经过足够的学习过程,才能发挥框架的真正作用。CAST最近发布了一份报告,其中显示最流行的开源Java框架是Struts、JavaEE、Hibernate和Spring。然而,没有一种框架提供了足够的安全性,或者保证完美无瑕的代码。

为了寻找最安全的框架,CAST调查了496个应用程序的1.52亿行代码,结果发现最大的问题是,大部分应用实际上都有错误配置。我并不确定这些统计结果是否可以推断出其他一些调查结果,但是这个结果突出了培训的重要性,只有通过培训才能让开发者知道如何正确使用所选择的框架。

任何应用开发的计划阶段都应该确定一组特定的安全需求,如身份验证、授权和加密方式,使开发团队能够选择最适合这些需求的框架。而且,有可能需要使用多个框架才能支持所有需求,但是这样可能增加应用程序的整合难度。

我个人认为,使用好的框架确实可以提高编码质量和减少Bug数量。CAST报告显示,不使用任何框架的应用程序会出现各种质量问题。影响框架选择的其他因素包括文档质量,特别是安全API的文档,因为它们可能非常复杂,显然有严格的使用要求。另一个问题是框架用户社区的响应速度,因为这是获取帮助和支持的重要来源。

要提高框架安全性,有时需要修改其他人的代码,而这是非常难的。他们发布的任何更新或补丁都可能覆盖您所作的修改,或者影响它们的行为。如果您发现它很重要,那么必须检查所有处理用户输入及应用入口的代码。输入是否有效?是否处理了所有特殊字符或特殊值?如果没有,那么您必须自己增加验证和过滤功能,保证传递到应用程序的数据一定是安全的。

在使用任何第三方代码或应用程序时,您必须紧跟供应商或Bug列表,及时了解所有安全警报。例如,Aspect Security的研究人员发现,Spring框架的“表达式语言”功能有一个缺陷,它允许执行远程代码,可能完全破坏相应用程序。这个问题很难解决,目前的建议是关闭表达式语言特性。如果开发者不了解这些漏洞,那么他们的应用程序就有可能无法避免这些攻击。开发团队应该有一位成员负责跟踪编程语言及开发工具的安全更新,而且他要知道如何处理警报和重要补丁更新。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2014-08-20 10:07:02

2023-03-05 18:51:26

2023-03-24 10:16:26

2022-08-01 16:43:07

机器身份网络安全自动化

2010-10-26 09:35:09

2015-01-09 09:35:11

2020-03-02 08:25:38

免费开源软件FOSS软件安全

2017-08-23 17:13:44

2010-03-05 10:08:24

2015-01-22 09:09:57

虚拟网络功能NFV安全风险

2023-06-27 16:33:15

2018-05-17 10:26:44

2011-08-10 10:25:42

iPhoneAndroid应用安全

2023-07-29 00:13:50

2021-04-29 14:45:29

开发代码程序

2014-07-15 10:54:17

2012-07-10 10:08:52

2012-04-16 16:31:17

2021-03-31 09:29:43

物联网应用安全风险物联网安全

2020-11-11 18:11:14

5G安全 网络
点赞
收藏

51CTO技术栈公众号