『黑帽子技术』Java有多安全?,与其他语言相比( 二 )


WhiteSource报告说 , “在过去两年中 , 所有语言中已知的开源安全漏洞的数量大大增加了” 。 尽管自2015年以来 , Java中的漏洞总数一直在稳步下降 , 但最近的漏洞数量激增需要作出解释 。 我们可以将此增加归因于两个因素 。
首先 , 存在漏洞赏金 , 这是一个相对较新的趋势 , 成千上万的技术专业人员选择一种语言来查找漏洞 。 这些至少占了开源安全漏洞增加的部分原因 。 此外 , 通常假设威胁搜寻者会平等地扫描所有语言 , 但这不是事实 。 作为Web开发中最常用的语言之一 , Java是威胁猎人的重要目标 。 在这种情况下 , Java在已知漏洞方面的第三位开始显得很低 。
软件系统也比10年前复杂了一个数量级 , 这是Java和其他语言中发现的漏洞数量不断增加的另一个主要因素 。 在智能手机应用程序可能成为感染源并且每个公司都必须拥有启用JavaScript的网站的世界中 , 网站漏洞的数量呈指数级增长也就不足为奇了 。 加上长期以来网络安全专业人员的短缺 , 对于网络安全的未来 , 事情开始变得严峻 。 如何避免Java安全漏洞
阅读有关安全漏洞的研究可能会使您心跳加速 , 但不要担心:在应用程序安全性方面 , Java开发人员处于有利地位 。 成千上万的专业人员扫描该语言中的漏洞 , 我们很有可能知道该语言中很大比例的漏洞 。 那知识就是力量 。
JavaWorld的最新文章为开发安全Java应用程序提供了13条规则 。 您也可以找到大量的文章和在特定环境下 , 诸如安全实施的Java白皮书对Java云安全和Web应用程序安全的Java 。 让我们考虑几种减少您可能忽略的漏洞的方法 。 移至DevSecOps工作流程
减少Java代码漏洞的一种方法是转移到DevSecOps工作流 。 这种类型的工作流程使安全成为开发过程所有阶段的首要考虑 。 作为开发人员 , 我们经常忘记我们工作的组织的所有部门都使用(有时是改编)我们的软件 。 如果您的营销团队决心破坏您的努力 , 那么就很难使您的Web应用程序抵御入侵 。 在开发过程中包括所有团队 , 并确保安全性是项目各个方面的考虑因素 。 评估工作流程安全性
您还应该仔细考虑自己工作流程的安全性 。 您的Web应用程序本身可能是安全的 , 但是对于开发人员而言 , 漏洞增长最快的来源之一就是开发系统本身 。 如果您的开发系统被黑客入侵 , 它将成为将恶意代码注入您的软件的门户 。 为避免这种情况 , 请确保使用VPN加密所有内部通信 。 另外 , 请确保实现加密的数据存储 。 结论
尽管研究发现Java不如其他某些语言安全 , 但是开发人员应该花点时间来理解这一发现 。 较新的和较不常用的语言可能看起来更安全 , 但这可能是因为尚未发现许多漏洞 , 或者更糟的是 , 已找到但未报告 。
尽管您应该了解风险并采取所有合理的预防措施来保护Java应用程序 , 但不要过于担心排名 。 作为Java开发人员 , 您至少知道自己要面对的挑战 。