為什麼安全是Java開發人員的首要任務?
大多數人都可能有以下經歷,在亞馬遜上訂購商品、透過優步叫車、在Airbnb上預訂房間、在在 Netflix上看過電影或節目、在Instagram上釋出過照片、在Pinterest上固定過商品或在谷歌上查了一些東西,在這期間無形中就在使用了Java。
簡而言之,Java是一種讓成千上萬的應用程式和網站無縫執行的程式語言。
Java於1995年由Sun Microsystems首次推出,現在是Oracle的產品,它是世界頂級的程式語言,執行著從科學超級計算機、資料中心和電子商務網站到手機、遊戲機和網上銀行的一切事物。
很多程式設計師一直從事Java語言程式碼的編寫,完成一個又一個軟體應用。但在說起如何確保軟體應用安全時,知道的人少之又少。
Infosec Skills的作者 Larry Ricker表示,“自網際網路以來,網路安全性一直在增長,而這一需求一直是網際網路創造的一個問題,Ricker稱,他最近在資訊保安技能中釋出了《用Java編寫安全程式碼學習路徑》(Writing Secure Code Learning Path in Infosec Skills)。“ 如果你在做任何程式設計或編寫應用程式,並且身處一個有客戶的環境中,你就在收集人們的資訊,你需要保護這些資訊。”
學習Java安全性
作為軟體開發人員,我們有必要了解人們可以用來攻擊軟體的跨站點請求偽造和攻擊,”Ricker說。“所以現在在進行安全程式碼審查並檢視人們的程式碼時,更熱衷於他們可能正在做的可能會開啟漏洞或易受攻擊的事情。”
易受攻擊的程式碼導致網路攻擊
今年早些時候,一名道德駭客利用開源開發工具,侵入了蘋果、微軟、Netflix、貝寶、Shopify、特斯拉和優步等科技公司的系統。
安全研究員 Alex Birsan 開發的程式碼被注入到常用工具中,用於在開發者專案中安裝依賴項。他利用的漏洞在超過35個企業中被檢測到,主要使用三種程式語言——Python、Ruby和Java。
去年,SolarWinds遭到駭客攻擊,影響了該公司約1.8萬名客戶,這些客戶下載了一個植入惡意程式碼的軟體更新。包括微軟、英特爾和思科在內的100多家公司受到影響。包括財政部、司法部、能源部和國防部在內的聯邦政府機構也是如此。
隱私法強調安全
由於機構和社交媒體收集了大量的個人資訊,國外的隱私法和國內的《個人資訊保護法》正在收緊。歐盟透過了保護個人隱私的法規,並對侵犯個人隱私的行為實施嚴厲懲罰。國內的《個人資訊保護法》也在11月1日開始實施。 這些正在施行的法規對企業的影響都是真實的。
“作為開發人員和編碼人員,我們正在收集大量個人資訊,我們必須保護這些資料。這涉及到設計層面,在應用軟體開發前期就必須開始考慮安全問題。
當某些平臺出於營銷目的收集大量資訊,這會使企業承擔安全上的責任。所以每個人都需要意識到這種環境下的安全性。”
提高Java的安全
靜態程式碼安全檢測工具是一個常見且有效的檢測方式,靜態程式碼檢測在不執行程式碼的情況下檢測所有可執行路徑,並且面向原始碼分析多種問題。靜態程式碼分析是在研發階段開始找到並修復多種問題,節省大量時間、人力成本。
提高Java編碼的安全性對企業來說不僅侷限於軟體安全性上,在經濟上也能減少相當一部分開銷。資料顯示,在測試、釋出階段糾正缺陷的成本是編碼階段發現並糾正缺陷的成本的15-90倍,如果在交付使用者之後才發現並解決缺陷,這個數字將達到50-200倍。因此,在編碼實現階段發現並解決儘可能多的缺陷,能夠極大降低缺陷管理成本,據相關統計數字估計,這個成本至少可以降低 1/3。在安全漏洞被瘋狂利用的今天,透過靜態程式碼分析技術來提高軟體安全是企業的重要措施。
哪些企業應該提高Java安全?
隨著數字時代的加速發展,越來越多的企業進行數字化轉型,網路攻擊分子更盯住金融服務、網際網路等巨頭企業,同時醫療保健和關鍵基礎設施等組織也是其重點目標。在企業開發軟體或確認來自第三方供應商軟體時,加強對程式碼缺陷和安全漏洞的檢測有助於企業維持安全穩健的網路環境,同時也有助於企業業務的健康發展。
參讀連結:
https://resources.infosecinstitute.com/topic/security-top-priority-java-developers/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2841877/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 為什麼開發人員喜歡低程式碼?
- 為什麼 Python 開發人員應該使用 PipenvPython
- 什麼是DevSecOps?開發人員如何為安全而左移dev
- 淺談DAST,什麼是DAST,開發人員為什麼要使用它?AST
- 什麼是Web開發?如何成為一個Python Web開發人員?WebPython
- 為什麼開發人員痴迷於“關注點分離”?
- 為什麼說web前端開發人員的薪資高、待遇好Web前端
- 為什麼Web開發人員在2020年不用最新的CSS功能WebCSS
- 谷歌專家:為什麼Java伺服器端開發人員不採用Kotlin? - Ivan谷歌Java伺服器Kotlin
- 為什麼開發人員必須要了解資料庫鎖?資料庫
- 為什麼 Web 開發人員需要學習一個 JavaScript 框架?WebJavaScript框架
- 為什麼阿里巴巴禁止開發人員使用isSuccess作為變數名阿里變數
- 為什麼像Google公司的一些開發人員認為敏捷開發是無稽之談? - QuoraGo敏捷
- 埃森哲:46%的化學公司將以客戶為中心作為首要任務
- Java開發人員常用的服務配置(Nginx、Tomcat、JVM、Mysql、Redis)JavaNginxTomcatJVMMySqlRedis
- 系統呼叫時為什麼發生任務切換?
- 為什麼銷售人員需要CRM?
- 成為傑出Java開發人員的10個步驟 - DZoneJava
- 2022年,這8項工作就是CIO的首要任務
- 【譯】為什麼 React16 對開發人員來說是一種福音React
- 為什麼測試人員必學Linux?Linux
- 2019年成為優秀的Java開發人員的10個技巧Java
- Java開發人員必備Linux命令JavaLinux
- 學軟體開發為什麼要選 “猿程式碼任務制培訓模式”?模式
- 如何成為更好的軟體開發人員
- Spring Cloud 微服務實戰——Java開發人員必須掌握的技術SpringCloud微服務Java
- WEB安全是什麼Web
- 開發人員,千萬不要去碰那該死的業務引數,無論什麼時候!
- 作為IT從業人員,你需要什麼證?
- 為什麼說 SaCa DataViz 是最適合業務人員的視覺化工具?視覺化
- 為什麼單件流是精益生產的首要原則?
- 為什麼亞馬遜、臉書和Discord的開發人員喜歡Rust程式語言? - businessinsider亞馬遜RustIDE
- web安全是什麼?主要分為哪幾部分?Web
- IT運維人員日常工作包含哪些?核心任務是什麼?工作量多嗎?運維
- Wiki憑什麼持續得到開發人員和團隊的喜愛
- 從Java到區塊鏈:如何成為區塊鏈開發人員Java區塊鏈
- 為什麼銷售人員要使用CRM的四個理由?
- 中國的首要任務:能源結構調整和碳減排