创银彩票

RSA会议:应用程序安全意味着获得公司买入,Adobe表示

更新:2019-09-04 编辑:创银彩票 来源:创银彩票 热度:7108℃

很少有公司像Adobe系统一样对媒体的安全成功和失败有着如此明亮的关注。

在过去的两年里,这已经转化为更多的重点通过改进开发流程和添加AdobeReaderX沙箱等技术,加强公司最受欢迎的应用程序。根据Adobe产品安全和隐私总监BradArkin的说法,所有这一切的关键-以及将安全性更全面地融入开发过程-都是开发人员和执行人员的支持。

你对产品团队所做的事情的细节很重要,但是如果你不能“说服产品团队他们应该关心安全性,那么他们就不会遵循具体细节,”他告诉eWEEK。“因此,实现对我的支持是最关键的步骤之一。”

对于Adobe,在2009年由于零日漏洞的冲击而改进其应用程序开发过程,这包括混合在准备产品更新时,教育和新的重点是在遗留代码中发现问题。为提高安全标准,该公司于2009年启动了一项内部培训计划,分为四个层次:白带,绿带,棕带和黑带。前两个级别是在线模块,配有画外音幻灯片和测验。Arkin解释说,最后两条带涉及项目,可能需要几个月。

当我们能够说服他们这样做是因为这是正确的事情,这很好,但偶尔我们会让更高级别的人告诉他们必须这样做,或者自私地他们意识到(而不是)这样做疯狂的返工和每周工作6天,每天14小时来解决所有这些事情,当它更便宜的时候预先做好更容易,“Arkin说,当被问及组织有时遇到的困难时让开发人员接受安全作为其工作的一部分。

在Adobe,对安全性的关注并非如此。Arkin说,他们改变了发现的漏洞类型-例如整数溢出等漏洞仍然出现-但随着开发人员将注意力转移到问题区域而发现代码错误已经发生了变化。

Adob​​e的高级安全研究员BryanSullivan告诉eWEEK,他最近在与研究人员和开发人员交谈时看到的最大安全漏洞之一就在于可用性。

“它越来越难了而且很难让攻击者利用溢出条件,这在很大程度上要归功于ASLR和堆栈cookie这样的平台防御,但这并不意味着网络犯罪分子会放弃他们邪恶的方式并找到合法的日常工作,“他说。“他们只是转向下一个最容易的攻击媒介,我认为这是一种拒绝服务攻击。你可以赚取同样多的金钱勒索网站,以防止DoS[拒绝服务]攻击......如果你可以在漏洞市场上卖零日,而且DoS路线几乎无限容易。“

“绝对号码他补充说,我可以向Web2.0开发人员提供的最佳建议是了解他们“为客户端层与服务器层实现的功能”。“这听起来很简单,但令人惊讶的是,这往往会让人们吵闹......我已经看到客户端代码确定用户是否经过身份验证,或者他是否拥有管理员权限,或者确定了物品的价格在购物车中,这些活动都不应该在客户端进行。“

(责任编辑:彩象彩票app)

本文地址:http://www.lfgdm.com/shoujitiemo/3Dmo/201909/5352.html

上一篇:Microsoft在安全更新

下一篇:GoogleSharedSpaces利用GoogleWave小工具

相关文章