在业界使用自动化安全测试工具

Question

我在文章上看到了一个10岁的芬兰男孩，他带着兴趣从Instagram收集了一笔1万美元的臭虫赏金。根据这篇文章(我希望有人能更清楚地了解这个错误赏金的确切细节)，这个男孩能够从Youtube和其他在线资源中获取信息，找出安全漏洞。

我想知道的是，是否有标准化的工具或插件，程序员使用这些工具对代码进行自动安全检查，以及是否有标准工具供深入测试人员用于对站点进行自动化安全测试。如果有，那么像文章中描述的那样的事件发生的可能性有多大，公司如何才能将这些事件的风险降到最低？

Answer 1

有很多工具，也有一些标准，但是没有标准化的工具，而且很多工具都很昂贵。

为了最大限度地减少风险，您基本上必须教您的团队如何安全地编码和部署，经常进行安全测试，并以非常快的周期速度频繁地更新您的安全基础设施。

这可能会变得昂贵(时间或金钱)，所以很多人根本不去做，或者他们只做了一点点。

持续不断的“赶往市场”无助于解决问题。目前的商业趋势是快速交付不完整的产品，而不是建立长期的质量。因此，不可避免地要削减开支，其中一些削减是出于安全考虑。这是不幸的，因为在大多数情况下，重新设计一个产品，使其具有安全性的成本远远超过从一开始就将安全性设计到其中的成本。

Answer 2

Owasp是信息安全领域最受尊敬的权威机构之一。这是他们的测试工具列表。https://www.owasp.org/index.php/Appendix_答：_测试_工具

在尽量减少风险方面：

1. 组织应该确保他们的解决方案架构考虑到信息安全的重要性。
2. 组织应委托专注于信息安全的外部公司定期进行渗透测试，并修复检测到的任何漏洞。
3. 组织应尽可能保持其软件和网络基础设施的现代化。
4. 组织应该有专门的信息安全专家，他们能及时掌握新威胁的出现并及时应用补丁。