應用安全購買決策的時候有許多因素需要考慮，企業(yè)在提升自身安全風險管理準備度上承擔的壓力比以往任何時候都大。事實上，超過80%的安全攻擊都針對的是軟件應用，應用漏洞成為了頭號網絡攻擊目標。

想要在整個產品生命周期保持安全，公司需要一套全面的應用安全工具包，并要回答一系列關鍵問題，以幫助正確選擇解決安全風險所需的工具。

開源安全廠商 Black Duck Software 給出了為什么詢問這些關鍵問題可以幫助你確定正確應用工具組合的原因。

1. 你開發(fā)的是什么類型的應用(例如：Web、移動、裝機、IoT等等)？

移動和 IoT App 通常需要專業(yè)工具(例如智能手機滲透測試工具)，而標準動態(tài)分析安全測試(DAST)工具則可用于測試大多數(shù)裝機和基于Web的應用。

2. 你的應用連接的是什么類型的網絡(例如：互聯(lián)網、局域網、無線網絡等等)？

你選擇的應用安全測試工具，必須能夠模擬你的應用可能面對的攻擊類型。比如說，無線應用對內網或互聯(lián)網的訪問需要受到保護，這就會影響到路由器、防火墻和VPN策略。如果你大多數(shù)業(yè)務應用都只運行在無線網絡上，在決定購買前考慮這些因素比較明智。

3. 你能獲得自己應用的所有源代碼嗎？

隨時間流逝，脆弱第三方組件和新增應用的代碼，逐漸成為嚴重的安全問題。如果你的公司在應用中使用大量第三方組件，請確保你的應用安全工具可以有效分析這些組件。確保所有第三方代碼都經過審查且保持版本更新，這些代碼將會更可靠，且易于管理。

4. 你使用哪些編程語言？

時至今日，只用一種編程語言幾乎不可能在軟件世界里發(fā)揮良好。盡管任何編程語言都能做各種工作，將重點放在對公司而言正確的語言上，還是很重要的。知道哪些語言對自己很重要，可以幫你驗證你正考慮的應用安全工具是否支持這些語言。正確的工具最終將讓你能夠更快更有效地解決問題。

5. 你的應用中采用了多少開源代碼？

如果你應用代碼的半壁江山都被開源代碼占據(jù)，開源漏洞管理解決方案就是你的必備品。公司的開源漏洞管理計劃，決定著公司出產應用的完整性和公司出產應用的效率。采用開源漏洞管理解決方案來自動化開源安全漏洞測試與管理，可以帶給公司和公司團隊更好的體驗，比如漏洞公開時在代碼庫中更快地識別之。

6. 應用交付后你怎樣跟蹤或測試新漏洞？

在應用的整個使用過程中，有工具可以監(jiān)測和管理各版本應用中的漏洞，是非常重要的。否則，你將陷入開源管理策略不完整的風險中。挑選出可靠的應用安全工具包，將有效保護你的敏感信息，預防漏洞被暴露出來。

7. 你的應用開發(fā)模式是什么？

確保你的應用安全工具與你所用的開發(fā)方法相兼容。設計上就安全的工具和應用讓公司企業(yè)受益無窮，但確保它們與開發(fā)軟件兼容，則是可能引發(fā)嚴重后果的破壞性事件發(fā)生時的進一步安全保障。

8. 誰來使用你的應用安全工具？

你所選擇的工具，應在復雜高端性與你團隊需要的易用性之間取得良好平衡。有正確工具加持的自動化過程，可幫助開發(fā)團隊在軟件開發(fā)生命周期(SDLC)中，少體驗點兒后期發(fā)現(xiàn)導致的中斷，有助達成更高效的企業(yè)運營。

9. 你的應用安全預算有多少？

要將你的應用安全預算導引到可產生最佳影響的地方。如果開源是你代碼的重要組成部分(這是極有可能的)，請確保你的開支分配中包含有開源漏洞管理解決方案。