本文作者 John Montesi 是 B2B 及 SaaS 行業(yè)專家，喜歡用可愛的語言解釋復(fù)雜的概念。他相信內(nèi)容營銷是大勢所趨，有時(shí)也相信鬼故事，雖然拿不出什么證明。

在當(dāng)今的商業(yè)領(lǐng)域，應(yīng)用安全的重要性已經(jīng)成為影響公司品牌感知，甚至盈虧的首要因素。然而，不知為何，盡管數(shù)字化領(lǐng)域呈現(xiàn)指數(shù)型增長，安全協(xié)議卻很少回應(yīng)云或其他軟件環(huán)境中存儲(chǔ)的重要信息量。

在近期一篇名為《為什么應(yīng)用安全是商業(yè)準(zhǔn)則》的白皮書中，IDG 與 Veracode 強(qiáng)調(diào)了應(yīng)用安全（AppSec）對于企業(yè)安全格局如此重要的五大原因：

1. 公司合并導(dǎo)致漏網(wǎng)之魚

去年，公司合并數(shù)量達(dá)到七年來的峰值，這既是企業(yè)合作的一種方式，也代表了企業(yè)們奮力突出重圍的勃勃雄心。然而，激動(dòng)之余，有一個(gè)重要的細(xì)節(jié)卻常常被人們忽略。白皮書中指出，典型的市值 5 億美元（或以上）的企業(yè)，開發(fā)了近 3100 款應(yīng)用，占其總體應(yīng)用框架的 40% 。如此規(guī)模的兩三個(gè)企業(yè)如果合并，很可能會(huì)有數(shù)百款應(yīng)用漏掉檢查，產(chǎn)生安全裂縫。如果你無法找到這些安全漏洞，又談何修復(fù)它呢？因此，全局的應(yīng)用安全必須考慮所有應(yīng)用。

2. 這是一場數(shù)字游戲

這是一個(gè)老掉牙的悲傷故事：一些負(fù)責(zé)次要任務(wù)的次要應(yīng)用導(dǎo)致了大規(guī)模的安全漏洞。即便是合并之前，許多公司通常會(huì)依賴數(shù)千款應(yīng)用開展業(yè)務(wù)。如果其中有一個(gè)應(yīng)用的安全措施不到位，專門的安全測試可能也無法查出來。其實(shí)，應(yīng)用安全是一個(gè)“全或無”問題?，F(xiàn)而今，生產(chǎn)環(huán)境中使用的應(yīng)用數(shù)量如此龐大，還有數(shù)量更甚的黑客伺機(jī)牟利，作為應(yīng)用供應(yīng)商的你從來都不占優(yōu)勢。除非將應(yīng)用安全視作企業(yè)的首要任務(wù)，否則，疏忽大意總是會(huì)導(dǎo)致漏洞。

3. 名譽(yù)無價(jià)

執(zhí)行主管們可能理解全局應(yīng)用安全的重要性，卻找不到合適的理由為安全投入辯護(hù)。目前，公司們平均投入 165 萬美元維護(hù) 37% 的應(yīng)用程序安全，若要覆蓋所有應(yīng)用，投入可能會(huì)提高三倍。然而，24% 的安全漏洞會(huì)造成至少 10 萬美元的損失，而更有 7% 的安全漏洞會(huì)導(dǎo)致 1 千萬美元以上的損失?？梢?，價(jià)值定位還是很有說服力的。如果頑固守舊的企業(yè)仍然選擇減少應(yīng)用安全支出，不認(rèn)真考慮這些風(fēng)險(xiǎn)回報(bào)因素，那么他們至少應(yīng)該知道，金錢損失僅僅是安全漏洞的直接影響。而由安全漏洞造成的長期名譽(yù)損害通常會(huì)放大，導(dǎo)致許多無形的損失與業(yè)務(wù)流失。

4. 時(shí)間就是一切

業(yè)務(wù)程序如果不是萬無一失，就有可能遭受潛在攻擊。盡管如此，開發(fā)人員卻仍舊因循守舊，在開發(fā)內(nèi)部應(yīng)用時(shí)從不將安全因素納入生命周期。除非公司文化對安全開發(fā)敞開懷抱，首席信息安全官 ( CISO ) 們就無法確保內(nèi)部應(yīng)用的安全。然而，開發(fā)人員常常面臨著截止期限的壓力，如果公司的安全預(yù)期模棱兩可，跳過重要的測試環(huán)境，往往是節(jié)省開發(fā)時(shí)間的簡便方法。

5. 客戶偏愛移動(dòng)應(yīng)用

客戶喜歡移動(dòng)應(yīng)用。因此，供應(yīng)商往往投其所好。內(nèi)部開發(fā)的應(yīng)用程序往往在一年內(nèi)就會(huì)增大 12%，而這些應(yīng)用開發(fā)時(shí)所處的文化決定了它將來是成功還是災(zāi)難。安全開發(fā)實(shí)踐，應(yīng)該像高品質(zhì)用戶界面，潛在投資回報(bào)一樣，成為應(yīng)用預(yù)期的重要組成部分。然而，現(xiàn)實(shí)卻是，供應(yīng)商們以前所未有的速度創(chuàng)建越來越多的移動(dòng)應(yīng)用，如果這些應(yīng)用不夠安全，就等于給黑客開啟了方便之門。

意識(shí)到應(yīng)用安全的重要性只是降低不必要風(fēng)險(xiǎn)的第一步。考慮到新的內(nèi)部應(yīng)用開發(fā)模式以及猖獗的網(wǎng)絡(luò)犯罪現(xiàn)狀，忽視應(yīng)用安全就和夜里睡覺不鎖門一樣，是違反直覺的行為。

Veracode 與 IDG 的白皮書中囊括了數(shù)十份行業(yè)報(bào)告，并重點(diǎn)論述了安全企業(yè)運(yùn)維的重要趨勢以及安全業(yè)務(wù)實(shí)踐的需求。下載完整的白皮書可以學(xué)到更多內(nèi)容，也千萬不要錯(cuò)過 Veracode CISO 延伸工具包。

原文地址：https://www.veracode.com/blog/2015/10/5-reasons-why-importance-application-security-cannot-be-overstated-sw

如今，多樣化的攻擊手段層出不窮，傳統(tǒng)安全解決方案越來越難以應(yīng)對網(wǎng)絡(luò)安全攻擊。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)，使其免受漏洞所累。想閱讀更多技術(shù)文章，請?jiān)L問 OneAPM 官方技術(shù)博客。

本文轉(zhuǎn)自 OneAPM 官方博客