首页 > 其他分享 >前端安全沙箱技术,软件安全问题的“治本”方案

前端安全沙箱技术,软件安全问题的“治本”方案

时间:2023-04-19 13:01:50浏览次数:37  
标签:访问 恶意代码 程序 安全 沙箱 gj 治本

2020年12月针对SolarWinds®的 "供应链gj"被认为是网络安全界的一个里程碑事件。这次gj是由SolarWinds的Orion软件中的安全漏洞导致的,使黑客能够入侵全球数百家公司的系统。

早在2017年,黑客实施了 "NotPetya "供应链gj。通过在广泛使用的会计软件中植入一个 "后门",他们能够感染数百家公司的系统并窃取数据。多年来,黑客通过gjPDF编辑器应用程序、第三方数据聚合器,甚至是暖通空调服务供应商(2014年臭名昭著的Targetgj)来发动供应链gj。

开源软件运动如火如荼的进行了二十四五年,极大程度的改变了软件业的面貌。当前全球企业超过90%直接或者间接甚至在无意识中使用了开源技术。享受便利的同时问题也随之而来,以上的软件供应链安全事件也层出不穷。为了保护自己免受此类gj,企业必须超越传统的、有风险的 "信任但核实 "的网络安全方法。

前端沙箱的原理是基于 JavaScript 的作用域和闭包机制来实现的。在 JavaScript 中,每个变量都有自己的作用域,变量在其作用域内可见,作用域之间是相互独立的。闭包机制可以使一个函数内部的变量被外部访问,但是外部的变量不能被内部访问。前端沙箱利用这些特性来实现代码的隔离和限制。

一、什么是小程序沙箱

小程序沙箱是一种用于保护小程序的安全性和稳定性的安全机制,类似于前端沙箱。其基本原理是通过限制小程序中 JavaScript 代码的访问权限和运行环境,避免恶意代码对小程序造成gj和破坏,保障用户的隐私和安全。

具体来说,小程序沙箱的实现方式包括以下几个方面:

1、安全隔离 小程序沙箱会将小程序中的代码隔离在一个独立的环境中,避免恶意代码对其他程序或系统的gj。小程序沙箱会为每个小程序创建一个独立的运行环境,保证各个小程序之间的安全隔离。在小程序沙箱中,每个小程序都有自己的代码、数据和运行环境,相互之间不会产生干扰。

2、权限控制 小程序沙箱可以限制小程序的访问权限,包括文件系统、网络、存储、设备等,从而保护用户的隐私和安全。小程序沙箱会对小程序的权限进行控制,防止恶意代码对用户数据进行访问和窃取。同时,小程序沙箱还可以对小程序的行为进行监控,发现并处理可能存在的安全问题。

3、运行环境控制 小程序沙箱可以控制小程序的运行环境,包括内存、CPU、GPU 等,避免恶意代码对系统的资源造成过度消耗或破坏。小程序沙箱会对小程序的运行环境进行限制,保证小程序不会对系统的其他部分造成影响或损害。

4、安全检测 小程序沙箱可以对小程序的代码进行安全检测,包括代码的合法性、安全性和可靠性等方面。小程序沙箱会对小程序的代码进行静态和动态分析,发现并处理可能存在的安全隐患。

总之,小程序沙箱的核心目的是保护用户的隐私和安全,保障小程序的稳定性和可靠性。通过限制小程序的访问权限和运行环境,小程序沙箱能够有效地避免恶意代码的gj和破坏,为用户和开发者提供更加安全和可靠的小程序开发和使用环境。

二、小程序沙箱的使用场景

小程序沙箱在微信小程序中有着广泛的应用场景,主要包括以下几个方面:

1、用户隐私保护 小程序沙箱可以对小程序的访问权限进行控制,防止恶意代码对用户数据进行访问和窃取。例如,小程序沙箱可以限制小程序对用户通讯录、位置、相册等隐私数据的访问,保护用户的隐私安全。

2、应用程序稳定性 小程序沙箱可以限制小程序的运行环境,避免恶意代码对系统资源的过度消耗或破坏,从而保障小程序的稳定性和可靠性。例如,小程序沙箱可以限制小程序的内存、CPU、GPU 等资源的使用,防止小程序对系统的其他部分造成影响或损害。

3、应用程序安全性 小程序沙箱可以对小程序的代码进行安全检测和限制,防止恶意代码的gj和破坏,从而保护应用程序的安全性和可靠性。例如,小程序沙箱可以对小程序的代码进行静态和动态分析,发现并处理可能存在的安全隐患。

4、应用程序可靠性 小程序沙箱可以限制小程序的访问权限和运行环境,避免小程序对系统的其他部分造成影响或损害,从而保障应用程序的可靠性。例如,小程序沙箱可以限制小程序的网络访问、文件系统访问等,保护系统的稳定性和安全性。

总之,小程序沙箱在小程序中扮演着非常重要的角色,通过保障小程序的安全性和稳定性,为用户和开发者提供更加安全和可靠的小程序开发和使用环境。

随着安全沙箱技术的不断演进,有望在企业环境中,对软件安全问题提供一部分“治标”的解决方案(“治本”还得更加长期、综合、涉及面更广的综合策略)。

FinClip:前端安全沙箱技术

FinClip 是一种新型的轻应用技术,它有一个比较有趣的逻辑:企业的软件供应链在数字化时代可能是需要被重新定义的 - 有可能你的合作伙伴的代码运行在你这里、也有可能你的代码借道合作伙伴的平台去触达对方的客户。FinClip的核心是一个可嵌入任何iOS/Android App、Windows/MacOS/Linux Desktop Software、Android/Linux操作系统、IoT/车载系统的多终端安全运行沙箱。

FinClip安全沙箱中运行的轻应用,选择了兼容互联网主流的小程序规范。这是一个非常明智的设计,FinClip的开发团队没有重新发明自己的技术规格,而是全力支持小程序这种形态的轻应用,一方面是因为小程序类技术的体验和效果在互联网上得到充分验证、获得巨大成功,另一方面是网上积累了丰富的技术生态、开发框架、以及更重要的 - 人才资源,从而让企业IT几乎是无缝掌握这个技术,能迅速投入应用。

前端安全沙箱技术,软件安全问题的“治本”方案_数据

FinClip的嵌入式安全沙箱,又被称之为小程序容器,它的本质其实是建立在Security Capability model基础上的浏览器内核的扩展,其沙箱的特点,体现在三个方面:

  • 沙箱内小程序之间的隔离
  • 沙箱对运行其中的小程序代码,隔离其对宿主环境的资源访问。以一家银行与它的合作生态为例,银行在自己的App上引入了衣食住行各类消费场景的小程序,这些小程序均非本行开发,也不能访问到当前宿主App的任何数据资源
  • 沙箱隔离了宿主对于沙箱中运行的小程序所产生的数据。以一家银行与一家券商的合作为例,券商把自己的业务小程序投放到银行的App中,银行App作为宿主,并不能访问沙箱内部该小程序的运行数据(当然,这是需要有一定的行业规范、监管政策去约束,但技术上首先是完全可能)

FinClip安全沙箱还配备了云端的管控后台,让任何小程序可以被关联到指定的App宿主所嵌的沙箱实例中,从而能且仅能运行在某一款App或者某一个终端上。像互联网小程序一样,FinClip的小程序也可以被实时上下架,对于金融机构来说,起到“实时风控”的效果,因为上下架的管理工具和权限,都由企业私有化运行、自行负责。任何有潜在安全风险的前端代码,一经发现即可瞬间下架,用户端再也无法打开使用。

这些安全管控的能力,可以说是企业尤其是金融机构数字化转型所必须。对于企业而言,内部IT、外部合作伙伴,均可以作为“供应商”以小程序方式实现、提供数字化场景,从而形成数字生态。

最后

随着 Web 技术的不断发展,前端沙箱也在不断的演进和发展。未来,前端沙箱将更加智能化和自适应,可以根据代码的特征和行为动态调整运行环境,从而提高运行效率和安全性。

另外,前端沙箱也将更加注重用户体验和可用性。例如,一些前端沙箱可能会提供可视化的界面,方便用户进行代码编辑和调试。另外,一些前端沙箱可能会提供更加灵活的配置选项,让用户可以根据自己的需求进行定制化配置。

标签:访问,恶意代码,程序,安全,沙箱,gj,治本
From: https://blog.51cto.com/u_15978219/6206189

相关文章

  • 快速发展的云计算,主要面临哪些安全威胁?
    人们必须了解云计算面临的严重威胁,并制定出相应的应对措施。下面,列举了云计算面临的五大威胁。一、服务中断即使SLA服务水平协议落到实处,也会有某些云服务出现宕机的可能。比如去年4月亚马逊云服务的中断事件,就是一个典型例子。某些情况下,云主......
  • 项目讲解之常见安全漏洞
    本文是从开源项目RuoYi的提交记录文字描述中根据关键字漏洞|安全|阻止筛选而来。旨在为大家介绍日常项目开发中需要注意的一些安全问题以及如何解决。项目安全是每个开发人员都需要重点关注的问题。如果项目漏洞太多,很容易遭受黑客攻击与用户信息泄露的风险。本文将结合3个典......
  • 大数据的安全防护,带来了哪些全新的挑战,建设数据防护体系的思路是什么?
    大数据时代,数据的产生、流通和应用更加普遍和密集。然而,新的技术、新的需求和新的应用场景给数据安全防护带来了全新的挑战。一是新技术带来的挑战。分布式计算存储架构、数据深度发掘及可视化等新型技术能够大大提升数据资源的存储规模和处理能力,但也为数据安全保护带来......
  • 什么是小程序沙箱?如何实现隔离和限制?
    随着Web技术的不断发展,前端沙箱也在不断的演进和发展。未来,前端沙箱将更加智能化和自适应,可以根据代码的特征和行为动态调整运行环境,从而提高运行效率和安全性。名词解释:沙箱也称作:“沙盒/沙盘”。沙箱是一种安全机制,为运行中的程序提供隔离环境。通常是作为一些来源不可信、具......
  • 前端沙箱利用这些特性实现代码的隔离与限制
    ​随着Web技术的不断发展,前端沙箱也在不断的演进和发展。未来,前端沙箱将更加智能化和自适应,可以根据代码的特征和行为动态调整运行环境,从而提高运行效率和安全性。名词解释:沙箱也称作:“沙盒/沙盘”。沙箱是一种安全机制,为运行中的程序提供隔离环境。通常是作为一些来源不可信......
  • 喜报!Coremail连续10次入选《中国网络安全行业全景图》
    近日,国内权威媒体安全牛第十版《中国网络安全行业全景图》(以下简称“全景图”)正式发布。全景图共收录456家国内网络安全企业和相关机构,共分为15个一级安全分类,107个二级细分领域。Coremail凭借自身卓越的技术实力,突出的市场表现,完善的服务能力,已经连续十次入选“邮件安全”领域。邮......
  • Abp框架Web站点的安全性提升
    本文将从GB/T28448-2019《信息安全技术网络安全等级保护测评要求》规定的安全计算环境中解读、摘要若干安全要求,结合Abp框架,对站点进行安全升级。【身份鉴别】应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。解决方案设置密码......
  • 国产Bi工具起势,瓴羊quickBI工具为数字化企业提供安全保障
    企业该如何选择智能BI工具呢?很多企业还是一味选择进口品牌,却忽视了刚刚兴起的瓴羊quickbi等国内bi工具,或许更能够满足中国企业的需求。最近,瓴羊Bi推出了30天免费试用的机会,如果您对国产Bi工具感到新鲜,不如先试用一个月体验体验。国产Bi工具相比起进口工具有哪些优势呢?以瓴羊Bi为例,......
  • 【Git代码仓库托管】上海道宁为您提供构建、扩展和交付安全软件的完整开发人员平台
      GitHub是用于构建、扩展和交付安全软件的完整开发人员平台通过提高开发人员速度的工具推动创新加快高质量软件开发  GitHub提供无限的存储库一流的版本控制和世界上强大的开源社区因此您的团队可以更高效地协同工作  开......
  • java 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接
    通过java程序调用sqlserver数据库,报错驱动程序无法通过使用安全套接字层(SSL)加密与SQLServer建立安全连接。错误:“TheserverselectedprotocolversionTLS10isnotacceptedbyclientpreferences[TLS12]”。ClientConnectionId:9c0c766b-97d5-41c6-884e-1ecbdefbac0......