目前仍然处于早期发展阶段的软件安全面临着两个挑战。在专家Gary McGraw看来，确保软件安全的正确做法是保证测试几近开发者环境。

移动应用和开源组件的持续扩张会给很多企业带来更大挑战，首席信息安全官需要高管的支持来构建成功的软件安全程序。

新的“Redirect to SMB（重定向到SMB协议）”漏洞是18年前发现的一个漏洞的变种，可导致所有版本的Windows遭受中间人攻击。

现在软件安全市场中的大部分重点都放在发现和修复漏洞上，但其实软件设计和架构中的缺陷问题也占据很大比率。

在Android设备中出现VPN绕过漏洞允许恶意应用通过VPN并重定向数据的情况，那么在补丁发布前，该如何阻止这种情况发生？

很多企业正在投入大量资金到安全技术来保护敏感数据和用户。尽管有这些努力，攻击者仍然像以前一样横行跋扈，并每年让全球企业损失数十亿美元。怎么应对这种情况？

随着计算机应用的普及，计算机数据安全问题成为了日益突出的问题，特别是在网络环境下，数据的安全问题不仅涉及到系统数据和用户数据遭到逻辑级别或物理级别的损坏威胁，而且涉及到敏感数据通过网络泄漏的威胁。如何保护计算机数据安全已经是重大的战略问题。

渗透测试（penetration test）是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设，你的公司定期更新安全策略和程序，时时给系统打补丁，并采用了漏洞扫描器等工具，以确保所有补丁都已打上。如果你早已做到了这些，为什么还要请外方进行审查或渗透测试呢？

“最佳实践”来自英文Best Practice。维基百科对最佳实践的定义是一个管理学概念，认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到最优，并减少出错的可能性。学习应用IT企业安全的最佳实践，其实就是借鉴别人成功的经验，让自己在保护企业安全方面少走弯路。在本手册中，将集合IT业内关于企业安全的最佳实践，并不断更新，以期在企业安全防护方面提供帮助。

跨站脚本攻击（cross-site scripting，XSS）是Web开发人员面对的严重安全问题。这种攻击允许恶意网站操作人员滥用Web用户对不相关的第三方网站的信任，在终端用户系统上执行任意脚本。XSS攻击发生时，恶意人士在其他用户的浏览器中运行恶意浏览器脚本。本专题将介绍跨站脚本攻击（XSS）以及如何进行防御。