Web 应用程序安全：Formula 1™ 一级方程式赛车教会我们的 3 件事 

Web 应用程序安全不仅仅是一种最佳实践，更是安全计划的关键组成部分。了解如何发现和测试 Web 应用程序将有助于战胜攻击者。

长期以来，Web 应用程序在支持电子商务和关键业务计划方面一直发挥着关键作用。 那么，为何仍有大量企业难以保证自身安全？

最近，一款颇受争议、名为 PunkSpider 的工具（再次）声称可以抓取整个网络中的数据，可以识别网站中有可能遭黑客攻击的漏洞，并且会将漏洞信息公布于众，以便每个人都可以搜索到这些结果。

企业难道不应在他人测试网站和 Web 应用程序之前便掌握此类信息？ 先行发现并测试 Web 应用程序是否存在漏洞，这将有助于最大限度减少停机时间，最大限度提高收入，并获得确保业务成功所需的竞争优势。

借鉴 Formula 1™ 一级方程式赛车的经验，应用到 Web 应用程序安全工作中

现在，把 Web 应用程序想象成 Formula 1™ 一级方程式赛车，开发人员就是车手，而安全团队就是后勤团队。车手关心赛车的性能和速度，而后勤团队则希望确保赛车安全、维护良好且无漏洞。 如果赛车表现出色，那么整个车队不仅能够获得经济上的收益，还可以扩大车队车迷群体。 就像赛车一样，当一家公司的电子商务网站表现出色时，也会产生收入。 但如果受到攻击或遭受停机，则公司就会产生经济损失，声誉也会受损。

那么，我们能从 Formula 1 一级方程式赛车中学到哪些经验？

1: 可见性是头等大事

可见性对 Formula 1 一级方程式车队的成功至关重要。F1 车手需要与后勤团队连续保持无线电通讯，以便清楚地了解整场比赛的情况，包括赛道、弯道以及赛道上所有赛车的状况。 

Web 应用程序就像 Formula 1 一级方程式赛车一样，需要在高速多变的环境中运行。 但遗憾的是，安全团队往往无法全面知晓企业其他部门正在开发的网站和 Web 应用程序。 例如，员工代表公司使用未经授权的第三方 Web 应用程序，以及可能造成安全漏洞的废弃和过时的 Web 应用程序。了解企业中拥有哪些 Web 应用程序（无论是内部、开源还是第三方开发）是保护它们的重要第一步。

2: 维持高效的后勤团队

Formula 1 一级方程式车队以其团队合作、高效工作和保持赛车以最佳性能水平安全运行的能力而著称。 在比赛过程中，后勤团队必须彰显极致的卓越高效精神，在平均不到三秒的时间内为赛车加油和更换轮胎。这种惊人的效率令人印象深刻，不禁会引发汽车经销商的维修服务难以望其项背这种感受。

同样，如果我们把开发人员想象成赛车手，那么安全团队就可以类比为后勤团队。 开发人员追求 Web 应用程序的性能和速度，并且经常担心额外的安全程序是否会阻碍 Web 应用程序的敏捷性。 在开发人员编写安全代码时，安全专业人士需要提供指导、帮助和支持。 整个团队的目标在于确保 Web 应用程序的性能和速度，同时保持良好的网络安全机制并增强安全态势。

3: 驾驶暖胎圈

在正式比赛之前，赛车手会进行一次暖胎或编队圈，在赛前最后一次观察赛道、暖胎，并确保赛车为比赛做好了充分准备。

赛车手需要换挡；而安全领导者则需要“左移”。如今的业务环境变化多端，向 DevOps 团队提交静态漏洞报告的传统安全实践已不再可行。将 Web 应用程序扫描工具尽早集成到软件开发生命周期 (SDLC) 的开发、测试和/或 QA 阶段中，就类似于赛车暖胎圈，这有助于尽早发现漏洞，降低修复这些问题的成本，避免因入侵事件而蒙受损失的几率。 根据 Gartner 的研究，到 2023 年，超过 70% 的企业 DevSecOps 计划将包含针对开源组件和商业软件包的自动安全漏洞和配置扫描，相较于 2019 年的不到 30%，涨幅显著*。 在应用程序投入生产之前和代码更改时，次次执行应用程序安全扫描是改善安全态势所建议的最佳实践。

各就位，预备，出发！

现在，通过消除安全团队和 DevOps 团队之间的隔阂，并将安全扫描集成到 SDLC 中，比赛已经做好了充分的准备，可以确保 Web 应用程序安全并提高效率。

*资料来源： Gartner，“获得成功 DevSecOps 要做对的 12 件事”，Neil MacDonald 和 Dale Gardner，2021 年 4 月 9 日更新。

GARTNER 是 Gartner, Inc. 和/或其附属公司在美国及全球的注册商标和服务标志，特此经授权使用。 保留所有权利。

了解详情

• 报名参加网络研讨会：我们可以通过三种方式提高 Web 应用程序的安全： 借鉴 F1™ 一级方程式赛车的经验
• 阅读信息图：借鉴 Formula 1 一级方程式赛车的经验，应用到 Web 应用程序安全工作中