2008年,一种新的威胁对大约120万个网站造成了不良影响,包括一些非常知名的网站,这种威胁就叫搜索引擎优化(SEO)代码注入或中毒。随着这个破坏性极强的威胁其影响越来越小,人们却清晰地发现:应用程序已成为了黑客攻击的“重灾区”。
之所以出现这个安全漏洞,一方面在于从整体式应用程序变化成为组合式应用程序,既通过SOA类别的流程编排,又通过Web 2.0类别的窗口组件和混合技术。这些组合式应用程序可能采用真正的混合搭配方式,包含了来自众多来源的应用程序代码。虽然这极大地提高了程序设计员的工作效率,并且让许多对程序设计一窍不通的人稍加培训,就能编制复杂的应用程序,但也导致应用程序容易出现漏洞。
组合式应用程序最具挑战性的一方面也许就是,在实际部署之前,这种应用程序无法充分理解各组成部分,因而就无法充分理解安全状况。只有部署后,导致安全威胁的所有因素才会暴露出来,包括恶意软件和安全漏洞,但这时候为时已晚。相关工具和开发平台现在就要融入安全开发方面的专业知识,以便能够在开发过程的每一个阶段进行安全检查。
这些安全趋势同时也会给那些行动超前的公司带来众多机遇。如何管理风险,将决定企业机构面对新兴技术是蓬勃发展还是遭遇失败。