.NET企业应用安全开发动向-概览
太長不讀版:試圖從安全的全局視角觸發,探討安全的重要性,討論如何識別安全問題的方法,介紹.NET提供的與安全相關的基礎設施,以及一些與時俱進的安全問題,為讀者建立體系化的安全思考框架。
引言
關于“安全”二字,“一千個讀者有一個哈姆雷特”,有人說安全就是殺毒軟件,有人說安全就是第三方軟件的安全掃描,有人說安全就是滲透性攻擊,而提到安全開發,大部分人則基本上沒有進一步的認知,這又是什么新詞?
由于不同理解的存在,使得企業應用開發者們很難從全局視角看待安全問題。如果我們聯系當下的互聯網新故事,或許會對這個概念有進一步的理解。
近期大事件:
近期互聯網大廠系統有點不太穩定,前不久發生的熱點:
阿里云崩了,由于RAM 系統出現故障,長達兩小時的時間,使用了ak/sk 的應用調用都出現了問題,沒過幾天,阿里云的數據庫也崩了,影響范圍之大,一度被人以為是“年度之最”。然而,沒過幾天滴滴又崩了,據滴滴通報,由于底層系統原因,造成系統故障。本次事故預計持續時間長達20小時,由于滴滴面向全國人民、打車也是許多人日常出行的首選,其影響范圍堪稱空前絕后,刷新年度之最。隨后,騰訊視頻也出現了一些故障,與前兩者相比可能沒那么大,但事故方同樣作為互聯網頂流,自然而然也就備受關注。連續幾起事故,使大家不得不懷疑,懷疑過去大廠所吹噓的“安全”,搞不好都是人肉運維的功勞。
再往前,某直播平臺CEO失聯,有人說是平臺上出現了賭博行為,一些主播利用直播平臺進行操作,吸引觀眾下注,從中獲取收益,有些“房間”一度每天流水幾個億,這種騷操作真的讓人想都想不到。
再往前,某大型電商平臺出現了個人信息泄漏事故,據說幾十億訂單數據被人打包販賣,根據圖片來看,訂單數據中包含用戶真實姓名、訂單號、商品名稱型號、訂單網址、用戶手機號、地址等詳細隱私信息。國人為數不多的隱私數據又一次當成了商品。
當然,除了國內有這種事故,國外也有,年初,推特推特發生信息泄漏,約2.35億用戶個人信息被泄。由此說明人類命運相互聯系,跨越時空,無論你身處何處,總會被人關注,而你我的隱私數據,也是一些人最為關注的金礦。
安全是什么,安全開發是什么?
新聞再多,只要沒發生在自己身上,終究只是故事,但只要發生在我們身邊,就得成為“事故”,如果我們悲催的成為當事人,到時候肯定沒辦法去冷靜的旁觀事態的發展,得想盡辦法去做各種善后措施,所以如果我們能利用這些教訓,將助我們快人一步。
總結經驗有三種方法,一種從別人的教訓中總結經驗,一種從自己的教訓中總結經驗,還有一種是從不總結經驗。這些大廠們付出了巨額代價,給我們留下了思考:我們該怎么做以便避免此類事故的發生?這便是個安全話題。
安全,從廣義上分為內容安全,數據安全,設備安全,行為安全。通俗理解,內容就是合規性問題,數據是指數據的產生、存儲、分發的安全,行為是指操作過程和方法,設備就是主機和環境,通過這四個維度,使安全得以全方向的覆蓋。
在軟件開發過程中,如何將代碼與各大安全結合起來,這就是屬于安全開發的工作范圍,筆者認為,安全開發貫穿在四大安全主題之中,是軟硬件架構的一大核心關注點。這就要求我們在開發過程中,建立一套好的安全開發指導規則,這種開發準則不應受到軟件部署架構復雜性的影響,放諸單體和服務化而皆準。
這就意味著我們應升維思考,不僅僅需要考慮解決問題,更需要考慮如何識別和防范問題,問題STRIDE和TARA 方法是兩種常見的威脅建模分析方法。這兩種方法,各有利弊,有時候可能還要結合起來使用。
作為成熟的企業應用框架,ASP.NET CORE 也推出了一系列與安全相關的基礎設施,依托這些基礎設施,使得我們能快速的將安全融入到產品開發之中。這些基礎設施涵蓋四大安全主題,如認證和鑒權,即便成熟如斯,它也在不斷的升級完善,加密算法庫又進一步充實,在應對安全性問題面前,我們的彈藥又多了一點。
時代在發展,新技術也在不斷涌現,以DevOps為代表的新型生產方式既在推動產業變革,也帶來了新的挑戰,而安全性問題首當其沖,引入的工具并非高枕無憂,說不定哪天就引入了新的風險因素,例如Jenkins ,作為一款專業的持續集成工具,它也幾度因安全問題而帶來罵名,容器也同樣如此,一個小小的日志就可能把主機給打崩了。
結語
軟件開發,看似稀松平常,奈何總有***民想要謀害我們(當然,有時候可能是自己人挖坑),所以有時候我們需要提前防范。作為一位開發者,筆者由于經常關注這些問題,形成了一些思考,并在.NET Conf China上與業界同仁共同探討,期待能借助.NETCONF這個平臺,拋磚引玉。
歡迎大家通過掃描二維碼關注,同時還有幾張講師權益票,需要的朋友可以聯系我,先到先得,送完為止。
總結
以上是生活随笔為你收集整理的.NET企业应用安全开发动向-概览的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【芜湖网站建设】优质的网站质量,可快速提
- 下一篇: 太白县的人口