建立一个预算友好的应用程序安全程序

2020年5月，一款智能手机来电识别应用报告了一次安全漏洞，超过4750万用户的个人数据暴露。这只是2020年导致数据暴露并造成漏洞的众多实例之一。从医疗机构到科技、软件、社交媒体和外卖公司，网络犯罪分子瞄准了每一个行业，窃取了数十亿份记录。

“与普遍看法相反，应用安全测试并不总是一项沉重的投资。”

与此同时，减少IT预算意味着首席信息安全官(CISOs)必须削减成本，并在风险管理项目上做出妥协。预算削减的重点领域之一是应用程序安全测试，这是整个过程中一个昂贵但必不可少的部分。

阅读更多:安全与风险领导者如何应对预算削减

“安全测试有助于在应用程序开发过程的早期识别漏洞，”说马克霍， Gartner的高级总监分析师。“但是，综合信息系统组织很难证明成本是合理的应用程序安全测试。在这一步上妥协可能会产生严重的影响，重要的是不能跳过这一步。”

与普遍的看法相反，应用安全测试并不总是需要大量投资。CISOs可以考虑这7个技巧来有效地进行安全测试，而不会给他们的预算带来压力。

在开发开始时，在体系结构评审中包括安全专家

早期测试将修复软件缺陷的成本降至最低。在开发的早期阶段包括安全专家有助于识别安全方面的差距并补救风险。如果在一开始就减轻威胁，组织可以避免重构和补救工作。

威胁建模是一项昂贵的工作，但在许多情况下可以在内部使用免费下载的软件完成。这并不局限于新的应用程序，也可以扩展到现有的软件。特别是当现有软件被重新使用或作为web服务公开时，对应用程序可能受到攻击的风险和场景的结构化评估为创建测试用例提供了机会。

阅读更多:2020年Gartner前9大安全和风险趋势

当预算减少时，选择负担得起的测试选项

在预算限制是安全测试的一大障碍的情况下，CISOs可以从负担得起的开源选项中受益。虽然这些备选方案在语言、框架和漏洞覆盖以及功能方面通常是不完整的，但通过适当的定制和插件，它们可以用最少的资源实现有效的应用程序安全程序。

这款免费软件没有提供仪表盘、全面报告、分布式扫描传感器或集成到软件开发生命周期中的插件等企业功能。然而，内部专家可以通过编写自己的脚本来填补这一空白，或者可以在需要的地方手动操作工具。

使用安全测试服务快速启动应用程序安全程序

让开发人员参与到测试过程中，这样一旦他们了解了可能的威胁，就可以生成高质量的代码。Horvath说:“指定一名开发人员跟踪pentester或应用程序安全测试服务，或者让开发人员管理程序。”

高德纳(Gartner)的研究表明，开发这类程序的人员更容易出现明显较少的安全错误。这些开发人员还可以充当主题专家或安全拥护者，并在未来为团队更快地识别问题。

除了让开发人员参与测试之外，CISOs还可以为开发人员引入大量的“道德黑客”在线课程。这可以使开发人员了解保护应用程序的世界观以及攻击者是如何操作的。