IDE(集成开发环境)插件是安全开发的便捷方式之一

这篇具有很好参考价值的文章主要介绍了IDE(集成开发环境)插件是安全开发的便捷方式之一。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

开发人员每天都使用插件,插件的功能在于简化开发流程,例如自动检测所有特殊字符(如“;”、“:”)或语法合规性。创建插件的目的本身就是为了让开发人员能够在编写代码时检测漏洞,并在无需离开 IDE 环境的情况下立即修复漏洞。我们来了解一下,什么是插件以及如何使用插件?

近年来,安全开发这一话题变得非常重要且具有现实意义。如今,从事开发或信息安全领域的人员基本上都听说过 DevSecOps 或见过相关信息。多项研究表明,网络应用程序攻击是最常见的网络攻击类型之一。例如,根据 Positive Technologies 的数据,在渗透测试人员发现的漏洞中有 72% 以上与应用程序代码中的错误相关,91% 的应用程序泄露了重要数据。各个公司和人员开展的类似研究有很多;要找到这些研究并不困难,只需使用搜索引擎即可。但这些研究都有一个共同点:都强调使用安全开发实践的重要性和必要性。

在搭建 DevSecOps 流程时,公司会尝试实施公认的最佳实践。例如,如果我们关注 Sonatype 的 DevSecOps 参考架构,我们不仅可以了解最佳的工具包及其在整个流程中的位置,而且还可以注意到一个非常重要的模式,即将代码安全测试转移到开发的早期阶段(左移)。原因在于,从开发到测试再到将应用程序投入生产的每个阶段,修复和禁用遗留漏洞或错误的成本都将增加。此成本可以用工时来表示,比如,开发人员在完成一个项目的工作后,会被分配到下一个项目。如果发现有问题,那么必须从新项目中抽调一名员工,或者分配额外的工时来修复已完工项目中的漏洞。另一方面,在生产中遗漏的漏洞可能会对公司声誉造成巨大影响和严重经济损失。这些论据正是应用左移等实践的主要推动力。

IDE(集成开发环境)插件是安全开发的便捷方式之一,Positive Technologies,网络安全,漏洞,运维,web安全,网络安全,电脑,安全,网络

Sonatype 的 DevSecOps 参考架构

如果我们将参考架构简化一下,那么可以区分出代码检测的几个主要阶段,如源代码威胁、流程搭建威胁和流程交付威胁。在图中,就 IDE 插件在安全开发领域的应用而言,我们关注的是“源代码威胁”阶段。这一阶段是代码的编写阶段;该阶段包括首次编写的数行代码和项目搭建前完成的代码,如 GitLab 的主分支。

同样值得注意的是,最流行的代码检测技术,如 SAST、DAST 和 SCA,都设置在“流程搭建威胁”阶段。也就是说,检测是在开发人员已将其代码发送至存储库这一阶段进行的。如果每位开发人员将每个新编写的函数或模块都发送至 SAST 分析器进行检测,那么没有任何一家公司拥有足够的资源和能力完成。如果公司第一次使用或很少使用 SAST、DAST 或 SCA 分析,那么其开发人员很可能会收到一份厚厚的报告,其中包含需要修复和分析的漏洞,而分析可能会耗费大量的工时。这时,安全开发插件就能派上用场。

IDE(集成开发环境)插件是安全开发的便捷方式之一,Positive Technologies,网络安全,漏洞,运维,web安全,网络安全,电脑,安全,网络

检测重点转移至开发的早期阶段

在应用程序代码编写过程中,安全开发插件可以直接发现漏洞和未记录的功能。内置分析模块可以检测开发过程中的源代码漏洞和配置文件错误。插件本身使用的是开发人员计算机的计算资源,无需额外的第三方资源。可以直接在 IDE 市场中检索这些插件。

IDE(集成开发环境)插件是安全开发的便捷方式之一,Positive Technologies,网络安全,漏洞,运维,web安全,网络安全,电脑,安全,网络

VSCode 市场截图

插件本身分为 open(开放源代码)和 close source(封闭源代码),也就是说,有些插件允许查看源代码并支持自定义规则。如果公司有更高的或非常规的代码安全要求,这将非常有用。除此之外,这些插件还允许查看分析内核源代码。封闭源代码插件不允许修改内核工作原理或(在某些情况下)添加自定义规则和封闭知识库。封闭知识库包含已搭建的漏洞搜索规则和搜索算法。通常来说,封闭数据库表明该库已包含切合实际且真正有意义的漏洞检测,而且产品开发人员会继续支持该数据库。此外,开发成熟 SAST 分析器的供应商所创建的插件也可以实现同步。SAST 解决方案得出的结果可以通过插件关联到开发人员的 IDE 中,使开发人员能够直接在 IDE 内熟悉的环境中处理结果。插件适用于各种编程语言和 IDE,因此也适用于各种编程任务;文章末尾的表格中列出了相关示例。

下图是安全开发插件工作原理的示例。截图中突出了四个重点:

  1. 在对代码进行分析后,插件会以编译错误的形式显示发现的漏洞。检测出的所有漏洞将以列表形式显示,并允许在漏洞间进行便捷切换。
  2. 当选择某一漏洞时,代码漏洞部分会自动高亮显示。
  3. 漏洞管理。可以对漏洞进行确认、驳回(标记为假阳性,以免后期该操作重复出现),如果插件功能允许,还可以立即生成漏洞利用程序来测试漏洞。
  4. 数据流 (data flow) 映射允许追踪漏洞全路径,例如从公告易受攻击的变量开始,追踪其与其他数据的所有交互,直至输出点(漏洞将被利用的地方)。

IDE(集成开发环境)插件是安全开发的便捷方式之一,Positive Technologies,网络安全,漏洞,运维,web安全,网络安全,电脑,安全,网络

插件会显示什么

当然,插件的使用并不能取代成熟的 SAST、DAST 和 SCA 分析,也不是万能的,但它可以成为构建安全开发和实施左移实践绝佳的附加工具包。值得注意的是,在同一个 SAST 解决方案中,项目通常已经构建完成,开发人员可以负责编写其中的单个模块。但是,在将模块上传到公共分支之前运用插件对其进行检测和修复,可以减少 SAST 结果解析阶段的工作量。

应用插件既可以是开发人员的个人主动行为,也可以是公司内部的规定。例如,个人动机在于提高自身的能力水平。无论是培训班还是大学教育,开发人员在学习过程中很少接受信息安全和安全编码原则相关的教育,而这已不是什么秘密。插件能够以非常容易理解的方式,通过实例实时演示代码缺陷是如何导致有条件的“数据泄露”的,而最重要的是,您将有机会学习如何消除这些缺陷。对公司来说,除左移之外,使用插件将有助于培训员工、贯彻安全开发原则,并有助于编写整洁代码。当然,员工和公司的整体利益也是一个巨大的竞争优势,因为在当前现实情况下,安全已经变得比以往任何时候都更加重要。

最后,顺理成章地以一个优秀插件的例子作为结尾。Positive Technologies 在安全开发社区 PosiDev 上为开发人员发布了免费的 IDE 插件,这些插件可以在 JetBrains 和 Visual Studio Code 中使用。因此,如果您对开发感兴趣,一定要尝试将它们应用到工作中。文章来源地址https://www.toymoban.com/news/detail-842556.html

到了这里,关于IDE(集成开发环境)插件是安全开发的便捷方式之一的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Go语言集成开发环境(IDE):GoLand 2023中文

    GoLand 2023是一款由JetBrains开发的现代化、功能丰富的Go语言集成开发环境(IDE) 。它提供了智能代码提示和自动完成、强大的内置调试器以及代码重构工具,帮助开发者提高编码效率并确保代码质量。GoLand 2023还支持多种版本控制系统,集成了测试工具,并提供了代码审查功能

    2024年02月06日
    浏览(53)
  • 有哪些免费好用的Python IDE(集成开发环境)?

    工欲善其事,必先利其器。Python的学习过程少不了集成开发编辑环境(IDE)。这些Python IDE会提供插件、工具等帮助开发者加快使用Python开发的速度,提高效率。这里收集了一些对开发者非常有帮助的Python IDE(来自hittp://doc.okbase.net/havoc/archive/242858.html)。这些IDE的相关介绍如下所示

    2024年02月11日
    浏览(74)
  • 【Java】IDE集成开发环境工具IntelliJ安装和使用

    欢迎来到《小5讲堂》 大家好,我是全栈小5。 这是《Java》序列文章,每篇文章将以博主理解的角度展开讲解, 特别是针对知识点的概念进行叙说,大部分文章将会对这些概念进行实际例子验证,以此达到加深对知识点的理解和掌握。 温馨提示:博主能力有限,理解水平有限

    2024年01月18日
    浏览(74)
  • 从0开始学C++ 第四课:常用C++编辑器和集成开发环境(IDE)的使用

    第四课:常用C++编辑器和集成开发环境(IDE)的使用 在这一课中,我们将了解一些流行的C++编辑器和集成开发环境(IDE),它们可以简化C++的编写、编译和调试过程。我们将介绍三种流行的IDE:Visual Studio Code、Eclipse和CLion,并指导如何设置一个简单的C++项目。 目标 了解不同

    2024年01月22日
    浏览(48)
  • ESP32开发环境搭建Windows VSCode集成Espressif IDF插件ESP32_IDF_V5.0开发编译环境搭建

    下载网址:https://dl.espressif.com/dl/esp-idf/ 打开上面的网页,选择单击页面中 ESP32-IDF v5.0.2 - Offine Installer,5.0.2是当前最新版本,如果没有ESP32-IDF v5.0.2 - Offine Installer,说明官方有更新最新版本,如果想要安装此教程版本可以把页面翻到最下面,会列出所有历史版本供用户下载。

    2024年02月13日
    浏览(58)
  • 集成开发环境IDEA

    集成开发环境 (Integrated Development Environment,IDE) 是 将软件开发过程中所需的多种工具集成在一起的 应用程序 。IDE通常包括代码编辑器、编译器、调试器和图形用户界面等组件。\\\"集成\\\"这个词在这里指的是将这些不同的开发工具和功能 融合 到一个统一的界面和工作流中,以

    2024年02月21日
    浏览(58)
  • (十九)devops持续集成开发——jenkins的一些常用插件和工具的安装

    本节内容会着重介绍jenkins持续集成开发工具的一些常用插件安装以及全局工具的配置安装,并说明其主要作用。在开始插件和工具安装之前,我们要保证可以正常访问网络,并且使用国内的插件更新地址,便于插件的正常安装。官方的地址可能会导致安装失败。以下是一些可

    2024年04月27日
    浏览(49)
  • 【编程日记】搭建PyCharm集成开发环境

    视频介绍 搭建PyCharm集成开发环境 本教程使用的版本号为专业版PyCharm 2022.3.2,如果您是初学者,为了更好的学习本教程,避免不必要的麻烦,请您下载使用与本教程一致的版本号。 官网下载:https://www.jetbrains.com/pycharm/download/other.html 百度网盘:链接:https://pan.baidu.com/s/1bBi

    2024年02月06日
    浏览(107)
  • 1.3 使用Scala集成开发环境

    (一)启动IDEA 采用的是开源免费的IDEA 2020.1版本 (二)安装Scala插件 Scala插件的安装有两种方式:在线与离线。我们学习在线安装方式。 启动IDEA,在欢迎界面中选择Configure→Plugins命令 (三)配置IDEA使用的默认JDK 启动IDEA后,选择欢迎界面下方的Configure→Structure for New Proj

    2024年02月09日
    浏览(306)
  • 【python基础】搭建PyCharm集成开发环境

    视频介绍 搭建PyCharm集成开发环境 本教程使用的版本号为专业版PyCharm 2022.3.2,如果您是初学者,为了更好的学习本教程,避免不必要的麻烦,请您下载使用与本教程一致的版本号。 官网下载:https://www.jetbrains.com/pycharm/download/other.html 百度网盘:链接:https://pan.baidu.com/s/1bBi

    2024年02月06日
    浏览(71)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包