為什麼安全是Java開發人員的首要任務?

大多數人都可能有以下經歷，在亞馬遜上訂購商品、透過優步叫車、在Airbnb上預訂房間、在在 Netflix上看過電影或節目、在Instagram上釋出過照片、在Pinterest上固定過商品或在谷歌上查了一些東西，在這期間無形中就在使用了Java。

簡而言之，Java是一種讓成千上萬的應用程式和網站無縫執行的程式語言。

Java於1995年由Sun Microsystems首次推出，現在是Oracle的產品，它是世界頂級的程式語言，執行著從科學超級計算機、資料中心和電子商務網站到手機、遊戲機和網上銀行的一切事物。

很多程式設計師一直從事Java語言程式碼的編寫，完成一個又一個軟體應用。但在說起如何確保軟體應用安全時，知道的人少之又少。

Infosec Skills的作者 Larry Ricker表示，“自網際網路以來，網路安全性一直在增長，而這一需求一直是網際網路創造的一個問題，Ricker稱，他最近在資訊保安技能中釋出了《用Java編寫安全程式碼學習路徑》(Writing Secure Code Learning Path in Infosec Skills)。“ 如果你在做任何程式設計或編寫應用程式，並且身處一個有客戶的環境中，你就在收集人們的資訊，你需要保護這些資訊。”

學習Java安全性

作為軟體開發人員，我們有必要了解人們可以用來攻擊軟體的跨站點請求偽造和攻擊，”Ricker說。“所以現在在進行安全程式碼審查並檢視人們的程式碼時，更熱衷於他們可能正在做的可能會開啟漏洞或易受攻擊的事情。”

易受攻擊的程式碼導致網路攻擊

今年早些時候，一名道德駭客利用開源開發工具，侵入了蘋果、微軟、Netflix、貝寶、Shopify、特斯拉和優步等科技公司的系統。

安全研究員 Alex Birsan 開發的程式碼被注入到常用工具中，用於在開發者專案中安裝依賴項。他利用的漏洞在超過35個企業中被檢測到，主要使用三種程式語言——Python、Ruby和Java。

去年，SolarWinds遭到駭客攻擊，影響了該公司約1.8萬名客戶，這些客戶下載了一個植入惡意程式碼的軟體更新。包括微軟、英特爾和思科在內的100多家公司受到影響。包括財政部、司法部、能源部和國防部在內的聯邦政府機構也是如此。

隱私法強調安全

由於機構和社交媒體收集了大量的個人資訊，國外的隱私法和國內的《個人資訊保護法》正在收緊。歐盟透過了保護個人隱私的法規，並對侵犯個人隱私的行為實施嚴厲懲罰。國內的《個人資訊保護法》也在11月1日開始實施。 這些正在施行的法規對企業的影響都是真實的。

“作為開發人員和編碼人員，我們正在收集大量個人資訊，我們必須保護這些資料。這涉及到設計層面，在應用軟體開發前期就必須開始考慮安全問題。

當某些平臺出於營銷目的收集大量資訊，這會使企業承擔安全上的責任。所以每個人都需要意識到這種環境下的安全性。”

提高Java的安全

靜態程式碼安全檢測工具是一個常見且有效的檢測方式，靜態程式碼檢測在不執行程式碼的情況下檢測所有可執行路徑，並且面向原始碼分析多種問題。靜態程式碼分析是在研發階段開始找到並修復多種問題，節省大量時間、人力成本。

提高Java編碼的安全性對企業來說不僅侷限於軟體安全性上，在經濟上也能減少相當一部分開銷。資料顯示，在測試、釋出階段糾正缺陷的成本是編碼階段發現並糾正缺陷的成本的15-90倍，如果在交付使用者之後才發現並解決缺陷，這個數字將達到50-200倍。因此，在編碼實現階段發現並解決儘可能多的缺陷，能夠極大降低缺陷管理成本，據相關統計數字估計，這個成本至少可以降低 1/3。在安全漏洞被瘋狂利用的今天，透過靜態程式碼分析技術來提高軟體安全是企業的重要措施。

哪些企業應該提高Java安全?

隨著數字時代的加速發展，越來越多的企業進行數字化轉型，網路攻擊分子更盯住金融服務、網際網路等巨頭企業，同時醫療保健和關鍵基礎設施等組織也是其重點目標。在企業開發軟體或確認來自第三方供應商軟體時，加強對程式碼缺陷和安全漏洞的檢測有助於企業維持安全穩健的網路環境，同時也有助於企業業務的健康發展。

參讀連結：

https://resources.infosecinstitute.com/topic/security-top-priority-java-developers/