应用程序安全是过程、工具和实践的准则，旨在在整个应用程序生命周期中保护应用程序免受威胁。

应用安全定义

应用程序安全是在应用程序中开发、添加和测试安全功能的过程，以防止安全漏洞抵御未经授权的访问和修改等威胁。

应用程序安全描述了应用程序级别的安全措施，旨在防止应用程序内的数据或代码被盗或劫持。它包含在应用程序开发和设计过程中发生的安全注意事项，但也涉及在应用程序部署后保护应用程序的系统和方法。

应用程序安全可能包括硬件、软件和识别或最小化安全漏洞的程序。阻止任何人从 Internet 查看计算机 IP 地址的路由器是一种硬件应用程序安全形式。但应用程序级别的安全措施通常也内置于软件中，例如严格定义允许和禁止哪些活动的应用程序防火墙。程序可以包含诸如应用程序安全例程之类的东西，其中包括诸如定期测试之类的协议。

网络罪犯都有组织，而且非常专业，他们的目标就是找到和利用企业应用程序中的漏洞，以便窃取数据、知识产权和敏感信息。应用程序安全可以帮助组织保护内部和外部利益干系人（包括客户、业务合作伙伴和员工）使用的各种应用程序（例如旧版、桌面、Web、移动、微服务）。

应用程序安全性越来越受到关注。有数百种工具可用于保护应用程序组合的各种元素，从锁定编码更改到评估无意的编码威胁、评估加密选项和审计权限和访问权限。

为什么应用程序安全性很重要

根据Veracode的《软件安全状态第10卷》报告，在它测试的85,000个应用程序中，83%至少有一个安全缺陷。他们的研究发现，许多应用程序有更多的缺陷，总共有1000万个，20%的应用程序至少有一个严重缺陷。并非所有这些漏洞都存在重大的安全风险，但其数量之多令人担忧。例如，一个常见的编码错误可能允许未经验证的输入。然后如果黑客发现了数据泄，这个错误可以转化为SQL注入攻击。

集成到应用程序开发环境中的应用程序安全工具可以使这个过程和工作流更简单、更有效。如果您正在进行遵从性审计，这些工具也很有用，因为它们可以在审计人员发现问题之前捕获问题，从而节省时间和费用。相反，我们有了新的工作方法，称为持续部署和集成，每天优化一个应用程序，有时甚至每小时优化一次。这意味着安全工具必须在这个不断变化的世界中工作，并快速发现代码中的问题。

这些类别中的许多仍处于发展阶段，使用的是相对较新的产品。这表明，随着威胁变得越来越复杂、越来越难以发现、对您的网络、数据和企业声誉的潜在损害越来越大，市场正在迅速演变。

应用程序安全工具

Gartner将安全测试工具分为几个大类，它们对你决定需要什么来保护你的应用程序组合有一定的帮助：静态测试，在开发过程中在固定的点上分析代码。这有助于开发人员在编写代码时检查代码，以确保在开发期间引入了安全问题。动态测试，分析运行代码。这更有用，因为它可以模拟对生产系统的攻击，并揭示使用系统组合的更复杂的攻击模式。交互式测试，它结合了静态和动态测试的元素。移动测试是专门为移动环境设计的，可以检查攻击者如何利用移动操作系统和在其上运行的应用程序。

查看测试工具的另一种方式是它们是如何交付的，可以通过一个本地工具，也可以通过一个基于saas的订阅服务，在该服务中您可以提交代码进行在线分析。

一个警告是每个测试供应商支持的编程语言。一些人将他们的工具限制在一两种语言之内。(Java通常是一个安全的选择。)其他人则更多地参与了Microsoft . net领域。集成开发环境(ide)也是如此:一些工具作为这些ide的插件或扩展来操作，因此测试代码就像单击按钮一样简单。

另一个问题是，任何工具是与其他测试结果隔离的，还是可以将它们合并到自己的分析中。

我们不要忘记应用屏蔽工具。这些工具的主要目标是加强应用程序，使攻击更难执行。这是一个很少有人涉足的领域。在这里，你会发现大量的小众产品，在很多情况下，它们的历史和客户群都很有限。这些产品的目标不仅仅是测试漏洞，并积极防止应用程序的破坏或妥协。它们包括几个不同的广泛类别:

运行时应用程序自我保护(RASP):这些工具可以被认为是测试和屏蔽的组合。它们提供了一种针对可能的逆向工程攻击的保护措施。RASP工具一直在监控应用程序的行为，这在移动环境中尤其有用，因为应用程序可以被重写，RASP工具可以发送警报、终止错误的进程，或者在发现应用程序被破坏时终止应用程序本身。

代码混淆:黑客经常使用混淆方法来隐藏他们的恶意软件，现在工具允许开发人员这样做，以帮助保护他们的代码免受攻击。

加密和防篡改工具:这些是可以用来防止坏人洞悉你的代码的其他方法。

威胁检测工具:这些工具检查应用程序运行的环境或网络，并对潜在的威胁和滥用的信任关系进行评估。一些工具可以提供设备“指纹”，以确定移动电话是否已经扎根或以其他方式受到危害。

希望这篇内容能让您了解网络应用安全的相关知识。