理清网页开发中的安全误区

文章重点

在这篇文章中，我们将探讨10个关于网页应用安全的常见误区，解释这些错误观念如何影响开发者的安全意识，并强调将安全融入开发过程的重要性，以确保我们的应用程式不受攻击。

如果你是一名网页开发者，那么你已经对应用安全的很多方面有所了解，也听到过不少冲突的意见。为了澄清一些常见的AppSec神话，我们整理了10个有关网页开发安全的误解。继续阅读，确保你在日常工作中能避免这些陷阱。

安全与软体创新之间的关系

软体开发的核心是使事物运作，创建解决问题和开启新可能性的功能。这种创造的氛围是网页开发的吸引力所在，但
表示，32%的网页开发者每天至少花五个小时处理安全问题。往往低效的沟通和工具的不充足导致开发者把与安全相关的请求视为一种没有明确理由且不会产生可见结果的工作。这种不信任感再加上一些关于网页应用安全的误解，使得情况更为复杂。

误解 #1: 安全不是开发问题

真相: 应用安全是现代网页开发的一个重要部分，尤其是在向DevSecOps转型时。

让我们从所有应用安全误解中的最根本的一个开始：安全是别人的问题。无论你是依赖工具、外部系统还是安全团队，都容易将安全抛诸脑后，专注于构建软体。实际上，现在的网页应用程式非常复杂，可能面临各种形式的攻击，唯一真正保护它们的方法是让安全成为每个人的责任——从开发开始，持续到每个阶段。毕竟，无论你的自订网页应用程式中发现何种漏洞，修复请求最终都会落到开发上，所以有效处理这些请求对于避免瓶颈和
是至关重要的。

误解 | 真相
—|—
安全不是开发问题 | 应用安全是现代网页开发的重要组成部分。

误解 #2: 我们的网页框架处理安全问题

真相: 优质框架能防范许多安全漏洞，但仅依赖框架是不够的。

网页框架和库彻底改变了开发，提供了构建生产网站和应用所需的支架，这样所需的时间和资源大幅降低。选择一个有良好安全记录的框架至关重要，因为它能帮助你避免某些类型的技术漏洞，但仅限于某些情况，并且必须按照框架的意图使用。举个我们之前提到的例子，在使用React时，故意绕过内建的安全措施，导致引入
确实很困难。但即使按预期使用时，框架也只能阻止一般用例中的一小部分漏洞，因此它们仅仅是安全编码的起点。

误解 #3: 我们在IDE中执行安全检查，因此我们已经安全了

真相: 静态代码检查仅涵盖应用安全全貌的一小部分。

如今