让开发者告别手工“找洞”时代

企业动态
6月5日,南山深圳湾,华为云举行了6月的首场安全技术私享会,分享了华为云DDoS高防服务、等保解读、Web应用防火墙、数据库安全服务等多项服务和技术。

6月5日,南山深圳湾,华为云举行了6月的首场安全技术私享会,分享了华为云DDoS高防服务、等保解读、Web应用防火墙、数据库安全服务等多项服务和技术。作为现场最大的亮点,华为云安全专家宣布了漏洞扫描服务的全面升级,置入华为软件开发云,让开发者从代码开发到部署上线,全生命周期自动进行安全检测,发现潜在安全问题,释放企业安全负担。

[[231911]]

华为云安全专家在现场发表演讲

无法消除的软件漏洞

2018年2月,中国民营企业500强TOP20的某公司互联网业务系统遭黑客攻击,致重要数据泄漏。该公司在安全方面投入了巨额资金和人力,但还是因其使用的某ERP软件存在一个漏洞,被黑客利用,导致了上述安全事件。回顾历史,这个事件还只是冰山一角,事实上还有更多的黑客活动没有被暴露出来。

安全漏洞是一个永恒的话题,数量多、分布广、灭而不绝,并且可能随时爆发,下图是国家计算机网络应急技术处理协调中心公布的2017年CNVD收录的安全漏洞数据。

所有软件都有漏洞,漏洞覆盖了从软件的开发阶段到生命周期结束的整个过程,就像一个婴儿从出生开始,就面临各种各样的疾病威胁。

尽管各软件公司的开发人员在消除漏洞方面都非常努力,但还是不能完全消除漏洞,包括微软等大公司也一样无法避免。

如何应对漏洞带来的安全风险呢?

对于安全漏洞,不得不承认3点:

1)所有软件和系统在它的生命周期内都存在漏洞;

2)没有受到攻击并不是因为你的系统很安全,而是你的数据没有被黑客“盯上”

3)数据显示有44%的攻击是基于已知漏洞(受害者往往没有及时打补丁和防御措施);

如何应对?每个人都有自己的一套办法:

“不是不想修复所有漏洞,关键是解决问题的代价/花费太大,我们(企业)根本无法承担。”

“我的数据不重要,没人会注意到我。”

“我们企业是内网,没那么多威胁,漏洞带来的风险影响有限。”

“安全技术薄弱,不会使用这么专业的安全设备。”

.…...

总结起来,就是所有人都认可漏洞带来的巨大风险,也没有不想修复漏洞的,但现实却是“无奈”的,更多人(企业)往往是破罐子破摔,放任自流。

但只要我们能正视这个问题,并积极的采取适当的防御方法,就可以在很大程度上缓解漏洞带来的风险,而且这个过程或许并没有相像的那么难,花费也没有那么多

发现问题才能解决问题

为了让开发者能够自动化地发现软件和系统中可能存在的安全漏洞,华为云发布了全新升级后的漏洞扫描服务,覆盖从代码开发到上线部署的全生命周期:

1、软件开发阶段

越早期解决漏洞的成本越低,最佳处理阶段就是在代码的开发阶段,漏洞发现的“性价比”是要体现软件/系统的整个生命周期。为此,华为云漏洞扫描提供了覆盖编码、测试、部署、运营、运维等各个阶段的漏洞检测服务。编码和测试阶段是发现并消灭漏洞的最佳时期,可以减少50%以上的严重漏洞。

华为云漏洞扫描全面升级,置入华为软件开发云

2、软件上线运营阶段

在软件验收、运营和运维阶段,提供自动化的安全巡检、上线评测等服务,尽可能多的发现漏洞:

1)功能全,可以发现编码、Web、主机、数据库、中间件、业务系统等多种漏洞,能一站式的发现全部漏洞;

2)扫描范围广,不受公/私网IP限制;

3)部署简便,使用便捷;

实际操作中,一次性解决所有安全问题不现实,建议先用最少的投入解决最大风险,其它风险可以放在监控之中,折机而动。

华为云安全专家表示,华为漏洞扫描服务全面置入软件开发云,让开发者告别手工查找漏洞,让运维者告别线上漏洞巡查的繁琐,降低了企业的开发运维和运维成本。未来,华为云还将推出更多优质的安全服务和平台,帮助企业从复杂和高成本的安全活动中解脱出来。点击了解华为云安全服务:https://www.huaweicloud.com/

 

责任编辑:张燕妮 来源: 51CTO
相关推荐

2021-06-16 09:22:52

低代码开发者互联网大厂

2013-09-03 09:42:13

Android开发者

2012-07-30 14:57:35

Android 开发者

2010-08-17 09:01:39

jQueryAPI

2016-12-01 14:51:03

2013-09-03 09:35:30

Android开发碎片化

2009-12-09 11:08:00

Linux开发者

2012-03-13 16:04:49

2012-08-10 09:52:27

红帽

2013-09-02 11:33:38

百度

2014-08-20 10:02:54

GitGit能力

2011-12-26 09:42:13

开发者黄金时代

2024-07-29 07:00:00

JavaScript字符串数组对象

2013-08-14 13:16:08

App应用开发者

2012-04-11 12:07:21

Android

2011-12-29 10:01:03

Windows 8注意事项

2020-03-12 12:31:01

开源谷歌量子AI

2013-10-23 09:18:22

移动开发者API商店友盟
点赞
收藏

51CTO技术栈公众号