ר�ұ�ʾ����Щ���ڰ��ڲ�������Ӧ�ó���������ϣ��Խ�ʡ�ɱ������Ч�ʵ���ҵ����Ҫ���ؿ����ƻ�����Ӧ�ó���İ�ȫ�����仯��

������Ӧ�ó���Ƚ�ͻ���İ�ȫ����֮һ���Ǽ��������ʩȱ�ٿ��ơ�΢�����߷���Microsoft Online Services�����ŵİ�ȫ�о�Ա�澭��Russ McRee��ʾ����ҵ��ԭ����Ӧ�ó���ת�Ƶ��Ƽ��㻷���У��ͷ����˶����������ʩ�Ŀ��ƣ����а�����������������־���¼���Ӧ�Լ����������ȡ�

����“��ѿ���Ȩ�������ṩ���ַ�����ˡ���Ȼ�������Խ�ʡ���ò�ת�ƹ�������������Ҳ�ѿ���Ȩ���ó�ȥ�ˣ�”��˵����

��������͵����ʼ���ȫ��˾Zscaler��λ�ڼ�����������ɭ��ά���У����ܲ�Michael Sutton���������ư�ȫ���˵Ļ�Ա������ּ֯���ƹ��ư�ȫ�����ʵ������һ����ӯ����֯��ָ����“�����Լ��Ļ�����ʩ�У����ܹ����׷�����ʲô��”�� “��������������£��㲻֪������ֻ�������˹������ƣ����ǿ��ܲ�Ը�����������������������豸�ġ�”

����CSA�Ĵ����ԱDennis Hurst�������ǻ��չ�˾�İ�ȫר�ң�ָ���������Ӧ�ó���������ҵ��������Ϊ���������ģ��������ǵĴ洢��ʽ��������ϵͳ�������ݴ���ķ�ʽ������Ϊ�ǿ��ŵĻ��߰�ȫ�ġ�

����“�����Ӧ�ó���ת�Ƶ�����ʱ�������Ҫ���ǵ���Ӧ�ó��򽫴���һ����̫�ѺõĻ����С�”��ָ����“ԭ�����ŵIJ����ڰ�ȫ���������е����в�������������һ���������εĻ����С�����뿼�Ǹ���Ķ���������ӿڡ����ݴ洢�����ݴ���ȡ�”

������ͬ����вģ��

��������ȥ�����췢����CSA������10�� Application Security��Ӧ�ó���ȫ��V2.1ָ�ϣ��Ƽ��������ʩ������ԡ��������Լ����ڿɻ���ԣ�ΪӦ�ó���ȫ���������������������ѡ�CSA���飬�����������ʩȱ�����������ⷽ�棬�����ڴ����������ݵ�Ӧ�ó��������֮��ͨ��ʱ���ü��ܼ�������ȷ��������ԡ�

����Ӧ�ó���ȫ��˾Veracode�Ĺ�ͬ�����˺���ϯ������Chris Wysopal��������CSA��Ա����ʾ�����ڱ���Ҫ���¿���Ӧ�ó����ڹ�˾�ڲ�ʱ��˾�ܹ����ܵķ��գ���ΪӦ�ó���ת�Ƹ������ṩ�̡�

�������磬һ��Ӧ�ó�����ʷ������ϴ����������ݵ��ļ�������û�м��ܣ�һ����˾���ܽ������ַ��գ���Ϊ��ЩӲ�������Լ��ġ�“��������ת�Ƶ����ϣ�����û�б����ļ�ϵͳ�������¼ijЩ�����洢���У���������Ҫ������м��ܡ�”

����“��вģ�͸ı��ˣ�����ԭ������Ƚ���©������в�����ڶ���ñȽϴ��ˣ�����Ҫ�����Щ���⣬” Wysopal�������

����McReeָ�������Լ���������������Ӧ�ó���Ĺ�˾��������ijЩ�ض��Ļ�����ʩ�ܿ��ܾ����񹥻������߲�ȡ�����Ĵ�ʩ����ֹIP��ַ������“�����ί������ƹ�Ӧ��ȥ����Щ���������Ĺ��������ǻ���������أ��㿴������������ʲô������Ҫ���¿�����μ������ַ��ջ��߹�����”

�������ĺ����вģ����Ҫ�ڰ�ȫ�������������н�����֤��������΢��������������ȫ��Χ��Ӧ�á�“��ܹؼ���”��˵��“�㻹Ӧ�ð�������Щԭ��Ӧ�������Ӧ�ó�������Ӧ�ó�����ڲ����ʣ���������������Լ���вģ�͵�ÿһ���档�ظ����������ֱ����ȷ�����еı�׼SDLҪ�󶼵õ������㡣”

�������ߺͷ���

����Zscaler��Suttonָ�������ƻ����У���ҵ����ʹ�ø���˾�ڲ���ͬ�İ�ȫ���ߺͷ��񣬱���˵����Ӧ�÷���ǽ�ȡ��ٸ����ӣ�һ����˾Ϊ�˸���ͳӦ�ó������Ӱ�ȫ����ʹ��������Ӧ�ó̻�ǽ�������иù�˾������ѡ�����ֹ��ߡ�

����“�����У��㲻ӵ����Щ������ʩ��Ҳ���ܽ��й����������㲻�ܼ򵥵��߽���������Ȼ��Ѻ��ӷŽ�ȥ��”��ָ����

����CSA����Ӧ����ȫָ��ָ����������ʩ�����ṩ�������ṩ��Ӧ�ó���ȫ���ߺͷ������а���WAF������Ӧ�ó���ȫɨ���Լ�Դ����������ߵȡ��ñ���ָ������Щ���߻����ǹ�Ӧ��ר�ù��ߣ������ǵ�����ר�ù��ߡ�

����McRee������Щ��Ӧ�ó���ת�Ƶ��ƻ����Ĺ�˾��ʹ���ܹ��ṩǿ����־��¼���ܵ��κ�API����˵����“��Ϊһ��Ӧ�ó���������ߣ������ú�API�����������������ϢΪ��ȫ��ṩ������”

����������

����McReeָ������ҵ��Ӧ�ó���ת���ƹ�Ӧ�̣�ʧȥ�˿��ƣ�������ҵ��Ҫ����˽����Э��������Щ�涨��“һ��Ҫ������Ҫ�Ķ���˵���������������Ǹ��������Dz����ṩ�����”��˵����ע�⣬��Ӧ�̻���ݲ�ͬ�Ŀͻ�ȥ�����Լ���

������CSAָ��ָ����Ӧ�ó���ȫ����“��SLA�������Ϊһϵ����ȷ�Ļ�ͱ�֤������԰����ṩ��Ӧ�̲�ȡ�İ�ȫ��ʩ�ĵ����Լ�������������Щ��йصĺ����İ�ȫ���ԣ�������־��¼����Ʊ����Լ���ȫ���ƵĶ�����֤�ȡ�”

�������յ�Hurst��ʾ���Ѵ�ͳ��Ӧ�ó���ת�Ƶ��ƻ������Ǹ��ư�ȫ״����һ�����ᡣ

����“��ȥӦ�ó���ȫ���������ô�ؼ���ʱ�򣬺ܶ�Ӧ�ó��򶼱�ֱ�Ӳ����ˣ�”��˵����“�����и��ܺõĻ��ᣬ���ǿ�������Ϊ��ЩӦ�ó�������ʵ�����в��ģ�������ȡ����Ƿdz�Ӧ���ڿ�ʼ��ʱ��Ͱ����е���Щ������ɡ�”

ԭ�����ӣ�http://www.searchsecurity.com.cn/showcontent_48014.htm