在2011年預測名單中,Denim集團應用程序安全專家預測軟件開發團隊開始將他們的重點轉移到爲軟件即服務(SaaS)應用程序構建擴展,而不是從頭開始編寫定製軟件。
在公司透明化運營中,儘管以消費者爲導向的應用程序擴展也在增長,B2B企業供應商在應用程序擴展方面仍將佔據主導地位。由此可以預見,這種轉變將爲開發者帶來一系列自身的挑戰,期待能夠安全整合他們的創造性。
Denim集團首席技術官Dan Cornell表示:“安全整合SaaS應用程序的首要問題在於這些集成系統擁有比正常網頁應用程序更復雜的威脅模式,而且自定義代碼集成樣式和SaaS服務沒有規範和標準化,沒有被很好的理解應用。這樣會導致一種情況就是開發人員不清楚如何在自定義代碼集成樣式與SaaS服務規範之間安全地建立互操作聯繫。與此同時,由於特殊平臺和相關性能的缺失,也給如何爲開發者提供標準化指導帶來挑戰。
Forrester研究分析員Mike Gualtieri對eWEEK表示,在不可控制下的對SaaS組件的依賴也爲企業帶來了挑戰。
他表示:“由於SaaS‘Franken-apps’帶來的依賴性,企業變得越來越脆弱。如果你在一個組件中找到漏洞並且不能自己修復它,你現在可以向SaaS供應商尋求幫助來修復它。與此同時你該做什麼呢?將應用程序申請下來嗎?建築師必須防範整個應用程序可能遭受的威脅模式,同時提供應用程序在運行期間的應變計劃,以防系統表面漏洞的出現。
Cornell表示安全解決方案需要一系列的東西。比如,開發者需要從SaaS應用程序獲得經過驗證的數據來防止系統部分之間惡意攻擊的傳播。除此之外,那些輸送SaaS供應商的數據需要及時編碼,這裏就涉及到一個驗證的問題。
Cornell表示:“根據該系統的特徵,我們必須使用指定的驗證碼才能通過SaaS供應商的驗證。如果這些由用戶提供,那適當的管理只需要他們在數據傳輸時對數據進行保護處理。儘管如此,如果通過SaaS供應商驗證的驗證碼是個匿名賬戶,該賬戶的驗證碼必須存儲在一個安全的方式裏,同時在關閉情況下保持適當的記錄,以確定哪些用戶採取哪些行動。
Veracode首席技術官Chris Wysopal表示,一個過去的頁面通過認證成爲客戶的SaaS應用程序的攻擊者的前景意味着整個應用程序的功能是具有攻擊面的。
Chirs Wysopal表示:“許多應用程序開發者淡化內部威脅和被保護的感覺,因爲他們的網頁應用程序有驗證碼,同時只有被授權的員工才能登錄這些應用程序。隨着多用戶SaaS應用程序的發展,攻擊者成爲SaaS應用程序供應商的另外一種客戶已經是司空見慣的事了。這增加對以云爲基礎的應用程序安全應用權力的需求。”
Wysopal表示,SaaS進一步的風險在於客戶數據系統管理方面主要是由SaaS開發商和託管服務提供商來運行,這種運行模式使數據在休息和傳輸過程中建立數據保護程序變成一種必須步驟。良好的審計和記錄也是有必要的。
Wysopal表示:“總而言之,威脅和攻擊面在SaaS應用程序上大大增加了。這使得像數據保護,審計和雙因素認證應用的安全功能更加成爲必要。漏洞更多的暴露在多用戶世界,因此安全編碼,安全檢測和第三方組件的審覈都是必需的。”