【IT专家网独家】爸爸有了一个崭新的包(工具包)。
Oracle正在庆祝它的30周年纪念。一些我们这样的旧时代的人沉迷于回忆Oracle 这30年来的各种变化。有时有种倾向,觉得旧时代的时候更好一些,但是即使是那些喜好反对一切的人也不得不认可我母亲说的话,“没有变化,就没有成长。”(我经常开玩笑说在Oracle工作就犹如旧金山的天气一样:如果你在任一时刻没有100%投入工作的话,那么等半个小时,它就会有变化了。)
现在有很多东西其实是比“过去的美好日子”更好的。其中之一就是工具的发展,使得其帮助人们做与安全相关的事情更容易了。安全自动化可以帮助所有人,从开发人员设法安全的推出他们的产品(通过发现软件中会导致安全漏洞的缺点),到客户设法确保他们的安全状况每天都很好,尽管频繁的改动配置。有数字指出现在大多数系统都比它们过去更大和更复杂了,你也认识到为什么安全自动化是未来的潮流,即使它是过去所需要的。
现在的自动化安全
Oracle有一些我们可以使用的它自己生产的工具,用来帮助发现和铲除普通的安全代码错误。其中一些是由Oracle的黑客攻击团队来开发的,他们的技术敏锐程度仅次于他们命名工具时的幽默感。(SQL*Splat是一个发现SQL漏洞的工具,而Bit*Rotter是一个协议漏洞检查工具。)这个黑客攻击团队使用这些工具来自动进行安全评估,而质量保证团队使用它们来保持领先于黑客们。
我们还有从第三方供应商那里得到的具有许可的工具。你不能将测试安全作为一个产品,但是即使是一个非常优秀的开发人员也可以受益于能够自动发现与安全相关的漏洞的工具。其中一些工具做静态分析:追查源代码以发现在X处(例如它没有被正确的处理)的一个输入可以导致之后在代码中的Y处怎样被实际使用。我们还可以使用自动化工具来测试网络接口——在我们的开发环境中和产品环境中——用于发现常见的安全漏洞。没有一个工具可以做这所有的事情。就像盖楼一样,你需要锤子、锯和螺丝刀,还有一个好的设计和优秀的工人。
我们花费了很长时间来找到好的工具、培训人们使用它们,我们帮助我们的供应商使他们的工具更加强大(没有人可以每天扫描5000万行代码,所以我们开始寻找工具来做),这不仅是帮助Oracle,还帮助了同行业中的其它公司。比如说,我们都需要用于代码的拼写检查器设备来发现我们哪里拼写错误。我很高兴Oracle正在帮助推出用于每一个人的安全自动化更高并更广的封装。
安全自动化在安全配置方面也很重要。大多数人没有时间或专门技术来设置,譬如说手动的设置82个配置参数(在37个实例上),更不用说要每天这么做以确保它们没有留下不安全因素。能够自动进行这些“我是否是安全的?”检查就像有一个守夜人(他永远不需要睡觉)一直每刻钟就检查每一次所有的门窗。理想情况下,每个软件供应商应该记录最佳的安全实践,使得很容易以默认方式安装它的产品,并提供一个工具来自动进行安全检查。
美好的安全时代
在30年中没有改变的一件事是IT业的人们总是一次至少做四件事情,并能够自动进行其中的三件,这不仅使我们所有人都更安全,而且会更好的利用稀缺的资源(时间!)。所以我期待这“美好的新时代”,这时在市场上有很多自动化安全工具能够满足供应商大大小小的需求,以及满足那些开发人员Jane或Joe为Mom-and-Pop.com建立一个客户应用。
在30中没有改变的另一件事是:我们都可以用得更长久。
IT专家网原创文章,未经许可,严禁转载!
