应用安全的重要性！再怎么强调都不过分的5大理由

本文作者 John Montesi 是 B2B 及 SaaS 行业专家，喜欢用可爱的语言解释复杂的概念。他相信内容营销是大势所趋，有时也相信鬼故事，虽然拿不出什么证明。

在当今的商业领域，应用安全的重要性已经成为影响公司品牌感知，甚至盈亏的首要因素。然而，不知为何，尽管数字化领域呈现指数型增长，安全协议却很少回应云或其他软件环境中存储的重要信息量。

在近期一篇名为《为什么应用安全是商业准则》的白皮书中，IDG 与 Veracode 强调了应用安全（AppSec）对于企业安全格局如此重要的五大原因：

1. 公司合并导致漏网之鱼

去年，公司合并数量达到七年来的峰值，这既是企业合作的一种方式，也代表了企业们奋力突出重围的勃勃雄心。然而，激动之余，有一个重要的细节却常常被人们忽略。白皮书中指出，典型的市值 5 亿美元（或以上）的企业，开发了近 3100 款应用，占其总体应用框架的 40% 。如此规模的两三个企业如果合并，很可能会有数百款应用漏掉检查，产生安全裂缝。如果你无法找到这些安全漏洞，又谈何修复它呢？因此，全局的应用安全必须考虑所有应用。

2. 这是一场数字游戏

这是一个老掉牙的悲伤故事：一些负责次要任务的次要应用导致了大规模的安全漏洞。即便是合并之前，许多公司通常会依赖数千款应用开展业务。如果其中有一个应用的安全措施不到位，专门的安全测试可能也无法查出来。其实，应用安全是一个“全或无”问题。现而今，生产环境中使用的应用数量如此庞大，还有数量更甚的黑客伺机牟利，作为应用供应商的你从来都不占优势。除非将应用安全视作企业的首要任务，否则，疏忽大意总是会导致漏洞。

3. 名誉无价

执行主管们可能理解全局应用安全的重要性，却找不到合适的理由为安全投入辩护。目前，公司们平均投入 165 万美元维护 37% 的应用程序安全，若要覆盖所有应用，投入可能会提高三倍。然而，24% 的安全漏洞会造成至少 10 万美元的损失，而更有 7% 的安全漏洞会导致 1 千万美元以上的损失。可见，价值定位还是很有说服力的。如果顽固守旧的企业仍然选择减少应用安全支出，不认真考虑这些风险回报因素，那么他们至少应该知道，金钱损失仅仅是安全漏洞的直接影响。而由安全漏洞造成的长期名誉损害通常会放大，导致许多无形的损失与业务流失。

4. 时间就是一切

业务程序如果不是万无一失，就有可能遭受潜在攻击。尽管如此，开发人员却仍旧因循守旧，在开发内部应用时从不将安全因素纳入生命周期。除非公司文化对安全开发敞开怀抱，首席信息安全官 ( CISO ) 们就无法确保内部应用的安全。然而，开发人员常常面临着截止期限的压力，如果公司的安全预期模棱两可，跳过重要的测试环境，往往是节省开发时间的简便方法。

5. 客户偏爱移动应用

客户喜欢移动应用。因此，供应商往往投其所好。内部开发的应用程序往往在一年内就会增大 12%，而这些应用开发时所处的文化决定了它将来是成功还是灾难。安全开发实践，应该像高品质用户界面，潜在投资回报一样，成为应用预期的重要组成部分。然而，现实却是，供应商们以前所未有的速度创建越来越多的移动应用，如果这些应用不够安全，就等于给黑客开启了方便之门。

意识到应用安全的重要性只是降低不必要风险的第一步。考虑到新的内部应用开发模式以及猖獗的网络犯罪现状，忽视应用安全就和夜里睡觉不锁门一样，是违反直觉的行为。

Veracode 与 IDG 的白皮书中囊括了数十份行业报告，并重点论述了安全企业运维的重要趋势以及安全业务实践的需求。下载完整的白皮书可以学到更多内容，也千万不要错过 Veracode CISO 延伸工具包。

原文地址：https://www.veracode.com/blog/2015/10/5-reasons-why-importance-application-security-cannot-be-overstated-sw

如今，多样化的攻击手段层出不穷，传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护，使其免受漏洞所累。想阅读更多技术文章，请访问 OneAPM 官方技术博客。

本文转自 OneAPM 官方博客