新思科技解析如何構(gòu)建并加速AppSec計(jì)劃

有效的AppSec計(jì)劃可以幫助解決日益嚴(yán)峻的軟件安全挑戰(zhàn)。AppSec不僅僅涉及部署工具和運(yùn)行測試，還涉及協(xié)調(diào)人員、流程和技術(shù)，以全面解決應(yīng)用安全風(fēng)險(xiǎn)。企業(yè)可以借助專業(yè)的安全咨詢服務(wù)和組合解決方案構(gòu)建并加速AppSec計(jì)劃，以攻克當(dāng)今挑戰(zhàn)并掌控未來機(jī)遇。Gartner 最近發(fā)布了 《2023年應(yīng)用安全測試關(guān)鍵能力報(bào)告》，面向五個(gè)常見特定用例解析哪些工具和技術(shù)更為重要，為部署AppSec計(jì)劃的企業(yè)提供借鑒。

最大限度地提升企業(yè)應(yīng)用安全

Gartner 將第一個(gè)用例定義為關(guān)注擁有廣泛應(yīng)用和開發(fā)方法的企業(yè)的需求。因此，他們需要一種全面的應(yīng)用安全方法。換句話說，如果您的團(tuán)隊(duì)構(gòu)建的軟件不是企業(yè)本身的產(chǎn)品，而是業(yè)務(wù)的主要推動(dòng)因素(比如，客戶可借此訪問產(chǎn)品或服務(wù))，則此用例適用。

新思科技軟件質(zhì)量與安全部門產(chǎn)品營銷高級總監(jiān)Patrick Carey表示：“應(yīng)用組成愈加復(fù)雜和交付要求不斷提高，企業(yè)需要在應(yīng)用生命周期的所有階段解決所有組件的安全問題。然而，許多企業(yè)發(fā)現(xiàn)他們正在跨多個(gè)開發(fā)團(tuán)隊(duì)使用和管理十幾個(gè)或更多應(yīng)用安全測試 (AST) 工具。當(dāng)不同的團(tuán)隊(duì)使用不同的工具以不同的方式報(bào)告安全結(jié)果時(shí)，很難做到‘窺一斑而見全豹’?！?

新思科技軟件風(fēng)險(xiǎn)管理平臺(tái)等應(yīng)用安全態(tài)勢管理 (ASPM) 解決方案可對癥下藥，幫助企業(yè) AppSec 團(tuán)隊(duì)理清和歸納檢測結(jié)果。借助ASPM，企業(yè)可以跨團(tuán)隊(duì)定義和自動(dòng)化統(tǒng)一的安全策略，并跨工具綜合、過濾和確定調(diào)查結(jié)果的優(yōu)先級。

確保軟件供應(yīng)鏈安全

企業(yè)越來越多地采用供應(yīng)鏈風(fēng)險(xiǎn)管理方法以確保應(yīng)用安全。協(xié)同使用多種工具以實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可見性和控制，覆蓋專有、開源和第三方軟件和服務(wù)，以及用于向最終用戶交付應(yīng)用的 DevOps 管道和云基礎(chǔ)設(shè)施。軟件供應(yīng)鏈漏洞及攻擊頻發(fā)，政府對應(yīng)用安全提出更嚴(yán)格的監(jiān)管要求，各大機(jī)構(gòu)也在積極推動(dòng)供應(yīng)商提供更安全的軟件開發(fā)實(shí)踐等等。這些壓力都在促使行業(yè)做出轉(zhuǎn)變，落實(shí)軟件供應(yīng)鏈安全。

軟件供應(yīng)鏈安全并不獨(dú)立于應(yīng)用安全，而是包含其中。企業(yè)意識(shí)到，僅僅將一組規(guī)定的安全測試作為軟件開發(fā)生命周期的一部分是不夠的。他們需要對其上游軟件組件供應(yīng)商和 DevOps 工具鏈風(fēng)險(xiǎn)的可見性和控制。他們同樣需要向客戶提供軟件物料清單(SBOM)或其它，以示軟件構(gòu)成的透明度。這種端到端的可見性和控制鏈有助于確保供應(yīng)商和客戶擁有主動(dòng)防御針對應(yīng)用漏洞的網(wǎng)絡(luò)攻擊所需的信息。

將安全融入DevOps

對不同企業(yè)來說，DevSecOps 的含義各異。 Gartner 簡述，該用例重點(diǎn)關(guān)注在 DevOps 以及快速迭代的軟件開發(fā)和交付方面有大力投資的企業(yè)的需求。

當(dāng)然，對于應(yīng)用安全測試，重點(diǎn)還在于支持現(xiàn)代、以開發(fā)人員為中心的自動(dòng)化安全分析的工具。將安全構(gòu)建到 DevOps 中需要團(tuán)隊(duì)優(yōu)先考慮三件事。

1. 賦能開發(fā)人員：為開發(fā)人員提供快速高效的工具，幫助他們在編碼時(shí)解決安全缺陷

2. 智能 AST 編排：優(yōu)化自動(dòng)化安全測試并確保管道持續(xù)全速運(yùn)行

3. 基于風(fēng)險(xiǎn)的漏洞關(guān)聯(lián)：幫助團(tuán)隊(duì)消除自動(dòng)化安全測試結(jié)果的噪音，將修復(fù)工作集中在對業(yè)務(wù)最重要的事情上

保護(hù)云端應(yīng)用

Gartner 對云原生應(yīng)用和 DevSecOps 的規(guī)定之間有相當(dāng)大的重疊部分。主要區(qū)別在于，DevSecOps 更注重開發(fā)人員支持，而云原生應(yīng)用則更注重 API、基礎(chǔ)設(shè)施即代碼 (IaC) 以及對于大多數(shù)云應(yīng)用環(huán)境而言至關(guān)重要的容器。

由于許多云原生應(yīng)用也是企業(yè)應(yīng)用，因此對軟件供應(yīng)鏈安全的關(guān)注也適用于此。然而，了解云架構(gòu)對這些應(yīng)用攻擊面的影響非常重要。這些應(yīng)用通?；旌鲜褂瞄_源組件、第三方 API、無服務(wù)器功能、容器和 IaC。

滿足移動(dòng)和客戶端應(yīng)用的獨(dú)特安全需求

第四個(gè)用例重點(diǎn)關(guān)注在客戶端硬件上運(yùn)行的軟件，即移動(dòng)應(yīng)用。這通常需要專門的測試工具和技術(shù)來模擬應(yīng)用的目標(biāo)移動(dòng)設(shè)備。

然而，移動(dòng)應(yīng)用面臨的許多挑戰(zhàn)也延伸到其它形式的客戶端軟件，例如網(wǎng)絡(luò)設(shè)備固件、嵌入式軟件和物聯(lián)網(wǎng)設(shè)備。在大多數(shù)情況下，此類軟件的測試很難自動(dòng)化，需要直接訪問或模擬硬件，并且包括測試用于與其它系統(tǒng)和服務(wù)通信的 API 或網(wǎng)絡(luò)協(xié)議。如果您正在構(gòu)建此類軟件，您可能已經(jīng)擁有用于單元和集成測試的專用工具，挑戰(zhàn)在于找到補(bǔ)充工具和服務(wù)來測試安全缺陷。

構(gòu)建AppSec計(jì)劃

毫無疑問，安全和開發(fā)團(tuán)隊(duì)很難組裝合適的工具包以確保用戶可以相信他們提供的軟件是安全的。但正如 Gartner 在《應(yīng)用安全測試關(guān)鍵功能》報(bào)告中所闡述的那樣，如果您思考一下團(tuán)隊(duì)試圖支持的用例，就會(huì)出現(xiàn)一個(gè)用于選擇工具的框架。

新思科技中國區(qū)應(yīng)用安全技術(shù)總監(jiān)付紅勛表示：“數(shù)字時(shí)代，AppSec已經(jīng)成為企業(yè)風(fēng)險(xiǎn)管理的關(guān)鍵部分。正確實(shí)施AppSec計(jì)劃對商業(yè)利益產(chǎn)生積極影響，因?yàn)槌晒Φ腁ppSec意味著更低的風(fēng)險(xiǎn)，更高的效率以及客戶滿意度。同時(shí)，由于企業(yè)需要更快地響應(yīng)市場需求，如果開發(fā)人員需要大量時(shí)間來梳理缺陷及漏洞，則可能錯(cuò)過最佳上市時(shí)間。為了確保速度和安全，兼得‘魚與熊掌’，企業(yè)通常都會(huì)與可靠的專業(yè)供應(yīng)商合作，簡化并優(yōu)化安全和開發(fā)團(tuán)隊(duì)的應(yīng)用安全測試，為企業(yè)在數(shù)字經(jīng)濟(jì)時(shí)代的穩(wěn)健發(fā)展提供有力支撐。新思科技已經(jīng)連續(xù)七年被評為Gartner應(yīng)用安全測試魔力象限領(lǐng)導(dǎo)者，有實(shí)力護(hù)航企業(yè)的安全之旅，助力構(gòu)建可信軟件。”