如何解决 Java 安全问题？（如何解决生理需求）

如何解决 Java 安全问题？（如何解决生理需求）

当程序中出现缺陷代码时，攻击者可能在后端利用 SQL 注入等方式进行服务器攻击或数据访问。当然，开发者培训和静态软件分析工具都可以减少这类危险，但无法在应用进入生产环境后处理漏洞。因此，无需开发者干预的安全方法是更符合实际的选择。

传统 Java 防御

Java 应用的安全防护通常基于网络或测试，但这两种方法都不可靠。

首先是基于网络的防御措施包括Web应用防火墙和运行时入侵防御系统，可以为生产系统抵御外部威胁。为了避免阻塞合法的流量，这些系统必须进行微调以降低其有效性。否则，就得投入大量精力来调整，使之只允许合法流量通行。毕竟，如果授权的流量都被阻塞，真实用户也可能被拒之门外。也不得不说，网络级防御机制（如 IP 防火墙）阻塞流量时，终止网络连接的方法非常笨拙。

监督用户输入

由于带 RASP 的 JVM 可以全面阻止恶意代码的执行，不论其来自应用内部、第三方库还是网络，因此战胜零日漏洞完全不在话下。此外，无需重启或中断服务，安全管理员就可以为运行的应用添加新规则，没有安全供应商的补丁也能即时阻止新发现的漏洞。

RASP 实例

Apache Struts 2 是一个用于开发 Java Web 应用的开源 Web 应用程序框架。在过去的几年中，我们发现了 Struts 框架中存在的诸多严重漏洞，攻击者可以借助这些漏洞对缺乏保护的服务器进行远程攻击。

为了修复这些漏洞，用户要么等待官方补丁（可能是几个星期或几个月），再对补丁进行测试和部署，要么重写代码，再重新测试和部署应用。

众所周知，安全解决方案总免不了误报，对于关键任务型应用尤甚。RASP 能将此类风险降到最低。通过监测运行环境中的应用执行，能更细致地监测应用行为和上下文。这种方法比网络层检测更为精密；因此，实际部署前的性能调优与应用行为建模也更加简单。 最后，尽管没有哪种安全处理可以完全摆脱处理开销，但将安全操作嵌入 JVM 内，再由 JIT（Just-In-Time）编译器进行优化，可以确保最小化对性能的影响。与那些远程调用（如 REST API 调用）应用外部服务或「工具代理」将调试代码插入应用中的安全方法相比，本地「in-JVM」安全机制的性能优势可谓显而易见。

RASP 这种「由内而外」的保护方法有很多优势。将安全方法嵌入 JVM 内部，可以确保企业关键代码的可用性，同时最小化对性能的影响。这种方式还可以保护多个应用，无需要修改软件，比添加补丁更为快速灵活。