选择应用安全解决方案 首先要回答这9个问题

应用安全购买决策的时候有许多因素需要考虑，企业在提升自身安全风险管理准备度上承担的压力比以往任何时候都大。事实上，超过80%的安全攻击都针对的是软件应用，应用漏洞成为了头号网络攻击目标。

想要在整个产品生命周期保持安全，公司需要一套全面的应用安全工具包，并要回答一系列关键问题，以帮助正确选择解决安全风险所需的工具。

开源安全厂商 Black Duck Software 给出了为什么询问这些关键问题可以帮助你确定正确应用工具组合的原因。

1. 你开发的是什么类型的应用(例如：Web、移动、装机、IoT等等)？

移动和 IoT App 通常需要专业工具(例如智能手机渗透测试工具)，而标准动态分析安全测试(DAST)工具则可用于测试大多数装机和基于Web的应用。

2. 你的应用连接的是什么类型的网络(例如：互联网、局域网、无线网络等等)？

你选择的应用安全测试工具，必须能够模拟你的应用可能面对的攻击类型。比如说，无线应用对内网或互联网的访问需要受到保护，这就会影响到路由器、防火墙和VPN策略。如果你大多数业务应用都只运行在无线网络上，在决定购买前考虑这些因素比较明智。

3. 你能获得自己应用的所有源代码吗？

随时间流逝，脆弱第三方组件和新增应用的代码，逐渐成为严重的安全问题。如果你的公司在应用中使用大量第三方组件，请确保你的应用安全工具可以有效分析这些组件。确保所有第三方代码都经过审查且保持版本更新，这些代码将会更可靠，且易于管理。

4. 你使用哪些编程语言？

时至今日，只用一种编程语言几乎不可能在软件世界里发挥良好。尽管任何编程语言都能做各种工作，将重点放在对公司而言正确的语言上，还是很重要的。知道哪些语言对自己很重要，可以帮你验证你正考虑的应用安全工具是否支持这些语言。正确的工具最终将让你能够更快更有效地解决问题。

5. 你的应用中采用了多少开源代码？

如果你应用代码的半壁江山都被开源代码占据，开源漏洞管理解决方案就是你的必备品。公司的开源漏洞管理计划，决定着公司出产应用的完整性和公司出产应用的效率。采用开源漏洞管理解决方案来自动化开源安全漏洞测试与管理，可以带给公司和公司团队更好的体验，比如漏洞公开时在代码库中更快地识别之。

6. 应用交付后你怎样跟踪或测试新漏洞？

在应用的整个使用过程中，有工具可以监测和管理各版本应用中的漏洞，是非常重要的。否则，你将陷入开源管理策略不完整的风险中。挑选出可靠的应用安全工具包，将有效保护你的敏感信息，预防漏洞被暴露出来。

7. 你的应用开发模式是什么？

确保你的应用安全工具与你所用的开发方法相兼容。设计上就安全的工具和应用让公司企业受益无穷，但确保它们与开发软件兼容，则是可能引发严重后果的破坏性事件发生时的进一步安全保障。

8. 谁来使用你的应用安全工具？

你所选择的工具，应在复杂高端性与你团队需要的易用性之间取得良好平衡。有正确工具加持的自动化过程，可帮助开发团队在软件开发生命周期(SDLC)中，少体验点儿后期发现导致的中断，有助达成更高效的企业运营。

9. 你的应用安全预算有多少？

要将你的应用安全预算导引到可产生最佳影响的地方。如果开源是你代码的重要组成部分(这是极有可能的)，请确保你的开支分配中包含有开源漏洞管理解决方案。