在 OWASP（Open Web Application Security Project）2015 年的年報中擒权，SQL注入和跨站點腳本再次被列入Top 10軟件隱患袱巨。

別打昨日之仗(一)

你是否覺得過去十年一直一成不變，從表面上也可以這么看碳抄。那么愉老，為什么我們能夠建造智能機器人，將無人機發(fā)射至太空剖效，甚至創(chuàng)造出能夠識別自然語言并能在智力競答節(jié)目中擊敗人類的計算機嫉入，但卻一直沒有解決這些軟件隱患焰盗？

安全公司 Cigital 首席技術官 John Steven 曾這樣說道：修補這些漏洞使得“我們正處于并厭煩于一個倉鼠轉輪的痛苦之中”。Rogue Wave 的首席技術官 Rode Cope 也深表贊同：「你也許會覺得 15 年過后這將不再是個問題咒林。但是 OWASP 的前十榜單似乎每年都一模一樣熬拒。」

Gartner 的前沿應用安全分析專家 Joseph Feiman 說：「開發(fā)者將會繼續(xù)寫出不安全的代碼垫竞，而對此他們自己也無能為力澎粟。面對黑客，這是一場注定失敗的戰(zhàn)爭欢瞪』罾樱」

現(xiàn)在的軟件生命周期與二十年前的相比已經(jīng)大不相同，那時候你只需要開發(fā)軟件然后放在防火墻后面運行遣鼓，在接下來六個月到一年（或者更久）啸盏，新的軟件版本開發(fā)出來之前你完全不用對它做出任何改變。測試機構 Bugcrowd 的 CTO Chris Raethke 指出譬正，時下軟件應用都是基于部件橫向開發(fā)出來的宫补。「所有的應用都是因特網(wǎng)的碎片曾我》叟拢」他說道，「且依賴于微服務（microservice）和面向服務的架構抒巢∑侗矗」

Raethke 更進一步說到，因為版本發(fā)行時間的存在蛉谜，開發(fā)者必須爭分奪秒稚晚，產(chǎn)品特點和更新更多由公司內(nèi)非技術人員引導。他如實說到：「你不能期待某種魔法能夠變出機構想要的安全型诚、可擴展且萬能的應用」客燕。

安全，誰之責狰贯？

長久以來也搓，安全倡議者都認為代碼的安全性由開發(fā)者決定。其他人則堅持認為相對于安全專業(yè)人員來說涵紊，開發(fā)者由于不專攻系統(tǒng)漏洞因此對漏洞的最新進展知之甚少傍妒。

「底線在于，我們不能讓開發(fā)者去做這件事摸柄，」Cope 補充道颤练，「這不是一個復選框，而是整個開發(fā)過程中至關重要的一部分驱负∴戮粒」

對于開發(fā)者來說在代碼階段保證安全就是一個魔咒患雇。相對于保證軟件的抗攻擊性，他們對開發(fā)出酷炫的功能更有興趣踏揣。Cope 說開發(fā)者并不覺得代碼安全工作有趣庆亡，他們總是這樣對自己說：「我不會因為寫出安全的代碼而出名。只有開發(fā)出酷炫的新功能才能讓我揚名捞稿，或者因為遭受攻擊而因此被責備又谋。但是除了避免更多的痛苦意外并沒有其他更好的辦法∮榫郑」

Cope 還提到開發(fā)機構面對的另外一個大問題是彰亥，新人入職時對代碼里的脆弱性并不了解。他表示：「總會有新的開發(fā)人員不斷加入衰齐，因此已經(jīng)在幾年前遇到攻擊問題的人會知道避免 SQL 注入的問題或緩存溢出任斋，而剛入職的新人可能現(xiàn)在正維護著他的代碼〕芴危」

「但那些剛離開學校废酷，或是剛使用新語言開始寫代碼的人不知道那些漏洞具體長什么樣，而他們正學習這些新代碼抹缕。在過去十五年內(nèi)不斷犯錯的人并不是同一個人澈蟆，而是一些新手正重新制造這些漏洞∽垦校」

遠遠不止不明白他們寫出的代碼趴俘，開發(fā)者加入一個正在進行中的項目還需要了解 Gemalto 產(chǎn)品經(jīng)理 Todd Steel 所說的操作環(huán)境的邊界性。開發(fā)者的安全測試「更多的是數(shù)據(jù)分析和問題解決奏赘，遠不是理解系統(tǒng)框架和該框架的局限性寥闪。」

但是 Steel 同時又堅決地相信「了解（系統(tǒng)）環(huán)境和漏洞是開發(fā)者義不容辭的責任磨淌∑１铮」

在傳統(tǒng)意義上，開發(fā)者寫代碼梁只，執(zhí)行功能和回歸測試缚柳，制造出堅固的架構。然后敛纲，QA （質(zhì)量保證）組保證其正常工作喂击。Cope 指出剂癌，軟件安全測試則是另外一回事淤翔。他認為應該有安全專家來確定軟件易被攻擊的地方，而不僅僅是確定它能正常運行而已佩谷。而這些技能常常是開發(fā)者沒有學過因而不具有的旁壮。

Steven 說 code hygiene 總會有問題出現(xiàn)监嗜。「作為測試者的我們有點像牙醫(yī)抡谐，當我們?nèi)タ囱泪t(yī)時他會問「每次就餐后你都刷牙了嗎裁奇？」我們會說「沒有，我吃的是商務餐麦撵，沒法刷牙」衛(wèi)生是不可能的刽肠。要求開發(fā)者在寫每行代碼時注意 code hygiene 是不可能的∶馕福」

新方案的到來

自從軟件在很多高調(diào)且有破壞性的情形中崩潰音五，在撰寫此文我們訪問的專家都認為已經(jīng)到了重估軟件安全的時間，解決措施是使用自動工具甚至是開發(fā)一種全新的能夠使應用保護自己免受攻擊的辦法羔沙。

「有些事情簡潔明了躺涝，如密碼存儲，我們知道怎樣做才是正確的但是對一般的開發(fā)者來說卻異常痛苦扼雏，」 Steven 解釋道坚嗜，「我們能夠向他們展示一次。在公司里我們能夠教他們寫一次代碼诗充，而他們再次使用時還是會忘記…安全 API 的概念苍蔬，對嗎？」

「然后還有很多 hygienic 問題其障，」他繼續(xù)說道银室，「例如之前我們已經(jīng)討論到的注入問題缺陷，沒有任何測試或單一控制能解決這個問題励翼。因此我們需要同等的 hygienic 程序蜈敢，而它們擁有不同的庫和框架。如果使用不同的工具應付軟件漏洞汽抚，那么開發(fā)者就不可能陷入這個泥淖抓狭。」

Cope 認為不能指望開發(fā)者手動解決安全問題造烁》窆「這不會發(fā)生，」他說惭蟋，「對他們來說這太冗長乏味了苗桂。」

「因此開發(fā)周期必須囊括這個重要必不可少的步驟而不僅僅是某項檢查框告组。就如你快速寫出代碼需要后續(xù)的可行性測試煤伟，包括單元測試，功能測試等等，我認為安全測試應該被提升到同等的首要位置上來便锨∥д蓿」

「第二點」他繼續(xù)說道，「就是你必須實現(xiàn)自動化放案。不管是第一次還是后續(xù)檢測你都不可能手動把它做好姚建。代碼審查是很好，但是并不是每行代碼都會被仔細地檢查吱殉。開發(fā)者也是人……他們也會覺得累掸冤，會覺得餓，寫出的代碼永遠不會是完美的友雳。你需要相關的工具能幫忙時刻盯著贩虾，某個開關是否正確，是否重要等等沥阱，一些小工具能夠閱讀代碼并檢查安全錯誤缎罢。這兩者需要結合一致，不能指望開發(fā)者在沒有任何外界的幫助因素下就能解決所有問題考杉。管理層必須提高視野高度策精。」

Gartner 公司的 Feiman 有一個全新的方法崇棠⊙释啵「如果我們不能或很好地檢測所有的應用，我只看到一個解決辦法：應用軟件自我測試枕稀，」他說询刹，「我們做不到對所有應用都進行分析，這就是為什么 Apps 必須自我檢測萎坷。而且因為利用現(xiàn)有的方法（ firewalls凹联、IPSes、IDSes哆档、Web application firewalls蔽挠、encryption ）我們無法保護所有的應用，唯一的解決辦法就是軟件應用必須實現(xiàn)自我保護瓜浸“氖纾”

軟件安全就是一個難惹的毛球。如 Feiman 指出的那樣「軟件安全是最近才出現(xiàn)在應用安全大家庭之中的插佛。其中身份管理問題杠巡，45 年；網(wǎng)絡防護雇寇，30 年氢拥；端點問題：25 年绑改。我們看到的這些攻擊都十分普遍而且很成功，我們無法阻止它們兄一，這讓我們感到絕望∈锻龋」

「但是網(wǎng)絡銷售商仍舊不斷出售它們……甚至推送它們出革，不僅僅是銷售它們。防火墻經(jīng)銷商也一樣渡讼。端點保護也是如此骂束。他們不斷添加著新的特性，這里改一改那里修一修成箫，然后說現(xiàn)在的產(chǎn)品更好了展箱，效果更佳了。而由于我們并不知道詳情蹬昌，我們會照單全收混驰。這就像在青霉素出現(xiàn)以前他們會推薦使用草藥，而你使用它們是因為市場上沒有更好的選擇了皂贩。我想說的是栖榨，這和四年前我們剛從事這個研究時所問的問題出現(xiàn)的巨大的反差，那時候我們說「怎么會明刷，如果我們都認為應用（ app ）是最重要的財產(chǎn)（應用以及它處理的數(shù)據(jù)）婴栽，那么它怎么會是完全軟弱的呢？它不能自我檢查辈末，不能自我保護愚争，這怎么會呢？」」

因此挤聘，F(xiàn)eiman 想出了運行時應用軟件保護（ Runtime Application Software Protection (RASP) ）的概念轰枝。他同時也警告道：「我們給了身份驗證管理 45 年的進化時間。而 45 年過后组去，這仍然不夠狸膏。我們給網(wǎng)絡安全 30 年的進化時間，結果也是沒有起到作用添怔。那么在最后湾戳，我們給了端點防護 25 年的進化時間，而現(xiàn)在仍有它不能抵御的病毒广料±裕」

「所有的技術都擁有復雜的執(zhí)行部件，而 RASP 現(xiàn)在還處于萌芽發(fā)展時期艾杏，但是一些有名的世界組織正在使用由企業(yè)收購的生產(chǎn)執(zhí)行部件韧衣，以保護它們的財產(chǎn)。」

由 Bugcrowd 公司的 Raethke 提出的另外一種方法則是創(chuàng)造一支由各個部門代表組成的能夠在企業(yè)內(nèi)部捍衛(wèi)變革的「fire team 」畅铭∈鲜纾「一兩個工程師，一個生產(chǎn)人員硕噩、安全人員假残、管理人員，以及一兩個銷售部門人員代表和市場部員工代表炉擅，」他說辉懒。這樣的話，任何關于產(chǎn)品的反饋都會傳達到所有團隊谍失，這個方法對改變運行操作十分高效眶俩。「這給所有的人都提供了參與的機會快鱼〉哂。」

Raethke 認為跨組織規(guī)則之間的交流是關鍵所在∧ㄖ瘢「任何向組織內(nèi)部推廣的措施（包括安全）都必須是可持續(xù)的嗽仪。」他建議在開始階段納入兩名開發(fā)者和兩名操作團隊成員柒莉，在共同性確定之后再帶入銷售闻坚，市場和行政部門的人員。

未完待續(xù)...

如今兢孝，多樣化的攻擊手段層出不窮窿凤，傳統(tǒng)安全解決方案越來越難以應對網(wǎng)絡安全攻擊。OneRASP 實時應用自我保護技術,可以為軟件產(chǎn)品提供精準的實時保護跨蟹，使其免受漏洞所累雳殊。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客窗轩。

本文轉自 OneAPM 官方博客