本文作者 John Montesi 是 B2B 及 SaaS 行业专家,喜欢用可爱的语言解释复杂的概念。他相信内容营销是大势所趋,有时也相信鬼故事,虽然拿不出什么证明。
在当今的商业领域,应用安全的重要性已经成为影响公司品牌感知,甚至盈亏的首要因素。然而,不知为何,尽管数字化领域呈现指数型增长,安全协议却很少回应云或其他软件环境中存储的重要信息量。
在近期一篇名为《为什么应用安全是商业准则》的白皮书中,IDG 与 Veracode 强调了应用安全(AppSec)对于企业安全格局如此重要的五大原因:
1. 公司合并导致漏网之鱼
去年,公司合并数量达到七年来的峰值,这既是企业合作的一种方式,也代表了企业们奋力突出重围的勃勃雄心。然而,激动之余,有一个重要的细节却常常被人们忽略。白皮书中指出,典型的市值 5 亿美元(或以上)的企业,开发了近 3100 款应用,占其总体应用框架的 40% 。如此规模的两三个企业如果合并,很可能会有数百款应用漏掉检查,产生安全裂缝。如果你无法找到这些安全漏洞,又谈何修复它呢?因此,全局的应用安全必须考虑所有应用。
2. 这是一场数字游戏
这是一个老掉牙的悲伤故事:一些负责次要任务的次要应用导致了大规模的安全漏洞。即便是合并之前,许多公司通常会依赖数千款应用开展业务。如果其中有一个应用的安全措施不到位,专门的安全测试可能也无法查出来。其实,应用安全是一个“全或无”问题。现而今,生产环境中使用的应用数量如此庞大,还有数量更甚的黑客伺机牟利,作为应用供应商的你从来都不占优势。除非将应用安全视作企业的首要任务,否则,疏忽大意总是会导致漏洞。
3. 名誉无价
执行主管们可能理解全局应用安全的重要性,却找不到合适的理由为安全投入辩护。目前,公司们平均投入 165 万美元维护 37% 的应用程序安全,若要覆盖所有应用,投入可能会提高三倍。然而,24% 的安全漏洞会造成至少 10 万美元的损失,而更有 7% 的安全漏洞会导致 1 千万美元以上的损失。可见,价值定位还是很有说服力的。如果顽固守旧的企业仍然选择减少应用安全支出,不认真考虑这些风险回报因素,那么他们至少应该知道,金钱损失仅仅是安全漏洞的直接影响。而由安全漏洞造成的长期名誉损害通常会放大,导致许多无形的损失与业务流失。
4. 时间就是一切
业务程序如果不是万无一失,就有可能遭受潜在攻击。尽管如此,开发人员却仍旧因循守旧,在开发内部应用时从不将安全因素纳入生命周期。除非公司文化对安全开发敞开怀抱,首席信息安全官 ( CISO ) 们就无法确保内部应用的安全。然而,开发人员常常面临着截止期限的压力,如果公司的安全预期模棱两可,跳过重要的测试环境,往往是节省开发时间的简便方法。
5. 客户偏爱移动应用
客户喜欢移动应用。因此,供应商往往投其所好。内部开发的应用程序往往在一年内就会增大 12%,而这些应用开发时所处的文化决定了它将来是成功还是灾难。安全开发实践,应该像高品质用户界面,潜在投资回报一样,成为应用预期的重要组成部分。然而,现实却是,供应商们以前所未有的速度创建越来越多的移动应用,如果这些应用不够安全,就等于给黑客开启了方便之门。
意识到应用安全的重要性只是降低不必要风险的第一步。考虑到新的内部应用开发模式以及猖獗的网络犯罪现状,忽视应用安全就和夜里睡觉不锁门一样,是违反直觉的行为。
Veracode 与 IDG 的白皮书中囊括了数十份行业报告,并重点论述了安全企业运维的重要趋势以及安全业务实践的需求。下载完整的白皮书可以学到更多内容,也千万不要错过 Veracode CISO 延伸工具包。
本文转自 OneAPM 官方博客
