移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

开源Java框架带来的利用安然风险

时间:2013-07-17 10:04来源:TuZhiJiaMi企业信息安全专家 点击:
Java安然风险是重所周知的,可是您是不是体味一些开源Java框架的安然标题问题呢?例如,Struts、Hibernate、JavaEE。哪个框架最安然,又有哪些办法可以进步它们的安然性? 只要开辟者当真进修,良
Tags应用安全(1006)安全风险(103)Java框架(1)  

  Java安然风险是重所周知的,可是您是不是体味一些开源Java框架的安然标题问题呢?例如,Struts、Hibernate、JavaEE。哪个框架最安然,又有哪些办法可以进步它们的安然性?

  只要开辟者当真进修,良多开源Java框架都可以帮忙完成利用开辟。框架可以进步开辟者出产力,可是大年夜大都人都必需颠末足够的进修过程,才能阐扬框架的真正感化。CAST比来发布了一份陈述,此中显示最风行的开源Java框架是Struts、JavaEE、Hibernate和Spring。但是,没有一种框架供给了足够的安然性,或包管完美无瑕的代码。

  为了寻觅最安然的框架,CAST查询拜访了496个利用法度的1.52亿行代码,成果发现最大年夜的标题问题是,大年夜部门利用实际上都有弊端建设。我其实不肯定这些统计成果是不是可以揣度出其他一些查询拜访成果,可是这个成果凸起了培训的首要性,只有经由过程培训才能闪开辟者知道若何准确利用所选择的框架。

  任何利用开辟的打算阶段都应当肯定一组特定的安然需求,如身份验证、授权和加密编制,使开辟团队可以或许选择最合适这些需求的框架。并且,有可能需要利用多个框架才能撑持所有需求,可是如许可能增加利用法度的整合难度。

  我小我觉得,利用好的框架确切可以进步编码质量和削减Bug数量。CAST陈述显示,不利用任何框架的利用法度会呈现各类质量标题问题。影响框架选择的其他身分包含文档质量,出格是安然API的文档,因为它们可能很是复杂,明显有严格的利用要求。另外一个标题问题是框架用户社区的响应速度,因为这是获得帮忙和撑持的首要来历。

  要进步框架安然性,有时需要点窜其他人的代码,而这是很是难的。他们发布的任何更新或补丁都可能笼盖您所作的点窜,或影响它们的行动。假定您发现它很首要,那么必需查抄所有措置用户输进及利用进口的代码。输进是不是有效?是不是措置了所有特别字符或特别值?假定没有,那么您必需本身增加验证和过滤功能,包管传递到利用法度的数据必然是安然的。

  在利用任何第三方代码或利用法度时,您必需紧跟供给商或Bug列表,及时体味所有安然警报。例如,Aspect Security的研究人员发现,Spring框架的“表达式说话”功能有一个缺点,它承诺履行长途代码,可能完全粉碎响利用法度。这个标题问题很难解决,今朝的建议是封锁表达式说话特点。假定开辟者不体味这些缝隙,那么他们的利用法度就有可能没法避免这些报复打击。开辟团队应当有一名成员负责跟踪编程说话及开辟东西的安然更新,并且他要知道若何措置警报和首要补丁更新。

------分隔线----------------------------

推荐内容