隨著網絡安全在全球范圍內的興起,企業(yè)對安全的細致程度也在不斷增加。就目前最火熱的Web在線應用來說,能在網絡層對其起到防護作用的產品就有很多種。
比如NIPS網絡入侵防御系統(tǒng)、Web應用防火墻、USG/UTM安全網關、NGFW下一代防火墻……
部署環(huán)境通常是這樣:
通過在數據中心和DMZ的Web應用服務器前端部署Web應用防火墻/IPS入侵防御系統(tǒng)之類的設備,將威脅消滅在國門之外。
但是,對于那些要求更高的單位來說,外部防御固然很重要,但內部的Web程序安全性和穩(wěn)定性更是必不可少。
通常,對于Web程序的審計會有測試工程師來做,那些測試人員會在精心準備的測試中發(fā)現漏洞和bug,并且將其遞交到開發(fā)人員那里,進行新一輪的除錯。如圖所示。
這樣做的優(yōu)點是誤報率較低,但缺點也很明顯——不是每個人都能在長時間集中注意力找到所有bug和漏洞的。而現在高昂的人力成本,更是讓安全工程師的招聘成為難題。
于是,市面上慢慢出現了一些自動化的代碼測試工具。這些工具的誕生,讓程序員稍微松了口氣。將所有的功能實現后,再用代碼測試工具檢查一下。有錯誤馬上修改,沒有發(fā)現錯誤即可馬上打包上線。
通常,由于是自動化測試工具,誤報肯定是不能避免,但對于完全用人工來說,卻是大大的提高了效率,節(jié)約了成本。
以Coverity公司的自動測試工具為例,這樣的工具可以在開發(fā)階段就介入測試,從分析缺陷、修復缺陷到管理缺陷。最快速度的推進產品上線。
目前,很多大型軟件/互聯(lián)網公司都會將這類工具和有經驗的安全審計人員配合起來工作,以達到最佳效果。加上之前在網絡層部署的防御,雙管齊下,讓Web應用安心上線。
附:
Coverity Prevent的優(yōu)勢:
1、完全靜態(tài)測試,完全智能化,不需要寫測試用例就能找出程序中的關鍵Bug,包括程序動態(tài)運行時發(fā)生的錯誤(如指針越界、溢出、數組越界等),并且能夠準確定位程序出錯的位置;
2、分析速度快,工作效率高,10萬行代碼大約只需10分鐘左右;
3、分析Bug準確度高,誤報率很低,官方統(tǒng)計的識誤報率低于15%,客戶實際反饋大都低于10%;
4、測試可達100%的路徑覆蓋;
5、即可測試嵌入式程序,也可測試桌面程序,支持大代碼量(幾十萬行,甚至幾百萬行)分析;
6、支持多種語言:C,C++,C#和Java;
7、極大縮短產品上市時間,大大降低測試成本。