0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

ASOC系列:如何通过应用安全自动化扩展应用安全

星星科技指导员 来源:synopsys 作者:synopsys 2023-05-29 11:16 次阅读

在应用程序安全编排和关联 (ASOC) 系列的第一部分中,我们研究了这种新的应用程序安全趋势如何提高 DevSecOps 效率。现在,我们将重点关注 AppSec 团队因当今快速开发周期而面临的典型挑战,以及 ASOC 工具如何通过自动化和可扩展性解决这些挑战。

问题:AppSec 跟不上 DevOps 的步伐

应用程序安全团队经常难以跟上 DevOps 团队生成的快速代码发布。随着开发速度的加快,测试不可避免地会落后。

很难在开发周期的后期返回应用程序代码并修复每个可能的问题。审查和修复六个月前编写的代码中的漏洞并不容易,开发人员通常不希望仅仅因为可能存在安全风险而解决有效的代码。结果是经常发布不安全的软件,这增加了违规的风险。

解决方案不是放慢开发速度,以便安全性能够赶上;相反,成功的应用程序开发需要速度和安全性之间的同步性,速度和安全性都得到应有的持续和同等的关注。速度和安全性之间的协调是转向DevSecOps的原因。

许多公司正在做出这种转变。Gartner 最近的一份报告揭示了几个关键数据点,这些数据点表明了向此应用程序安全最佳实践过渡的加速:

到90年,2022%的软件开发项目将声称遵循DevSecOps模型,而40年这一比例仅为2019%

到 70 年,2023% 的 DevSecOps 计划将包含自动化安全漏洞和配置扫描,而 30 年这一比例仅为 2019%

到 60 年,2021% 的快速开发团队将嵌入 DevSecOps 实践,而 20 年这一比例为 2019%

这些计划很有希望,但对于许多组织来说,将安全性完全集成到设计和开发过程中的真正 DevSecOps 方法可能具有挑战性。全面的应用程序安全测试既耗时又耗费资源。分析师必须评估所有攻击面的漏洞,包括自定义代码、第三方组件以及软件应用程序所在的网络

AppSec 团队需要运行各种工具,包括:

静态应用程序安全测试 (SAST) 工具

动态应用程序安全测试 (DAST) 工具

交互式应用程序安全测试 (IAST) 工具

软件组合分析 (SCA) 工具

威胁建模工具

除了运行上面列出的工具外,AppSec 团队还使用方法,例如:

渗透测试

手动代码审查

网络漏洞分析

漏洞赏金

这些工具和审查通常在不同的时间和频率运行,具体取决于给定项目在软件开发生命周期 (SDLC) 中的位置。许多 AppSec 工具的配置和运行都很复杂。载入和维护需要时间,我们鼓励 AppSec 团队在同一类别中运行多个工具,例如多个 SAST 工具和 DAST 工具。一个软件开发项目在SDLC的过程中可能需要几十种工具,每个工具都有自己的用户界面(更不用说特殊性了)。

通常,相同的工具用于多个项目,需要多个配置。不相互集成的工具会产生不一致的结果,报告格式不同。识别误报以及关联结果并确定其优先级可能需要数周(或更长时间)的时间。

此外,许多企业管理多个构建服务器。例如,除了 TeamCity、Azure 和其他服务的多个实例之外,可能还有数百个 Jenkins 服务器。如果没有编排,就不可能将应用程序安全性烘焙到这些系统中的每一个系统中。

使问题更加复杂的是安全团队成员与开发人员的比例较低。开发人员的数量超过安全团队成员的比例为 100:1。当您考虑每个开发人员的工作速度时,安全性没有太多机会识别和修复所有潜在漏洞。

难怪 AppSec 无法跟上开发团队的步伐并有效地跟踪漏洞。

解决方案:使用 ASOC 实现应用安全自动化和编排

组织需要一种方法来集中和协调所有开发管道中的 AppSec 测试,使其成为可扩展、可重复和自动化的流程。这允许安全性以 DevOps 的速度移动并停止阻塞开发管道。

ASOC 是实现自动化和可扩展性的解决方案。由于我们已经在本系列的第一篇文章中详细介绍了 ASOC,因此我们将只关注实现可扩展性的方面。

配器

业务流程可提高 AppSec 测试的速度,并确保运行所有适当的测试。业务流程可自动执行扫描过程,以确保特定工具始终以特定间隔跨多个生成服务器运行。ASOC 工具分析源代码以识别使用的语言,然后自动找出要为特定应用程序运行的相应 AppSec 工具。这将创建一个一致且标准化的流程,无论有多少个不同的开发团队正在处理不同的项目。

工具编排为 AppSec 测试提供了标准化的自动化流程,从而可以更轻松地将新应用程序载入安全管道。它还减少了安装、配置和更新 AppSec 测试工具所需的时间。换句话说,编排允许 AppSec 团队根据需要扩展其测试活动。

关联和重复数据删除

ASOC 工具自动运行、收集和关联来自每种 AppSec 工具和测试方法的结果,包括手动审查、漏洞赏金、源代码分析器、自动和手动渗透测试、软件组合分析器和网络漏洞评估器。这减少了 AppSec 团队需要查看的结果数量。

优先次序

智能自动化允许 AppSec 团队使用以前的原始结果和修复活动为每个应用程序选择安全测试工具的最佳组合。可以根据应用程序的关键性、法规合规性要求和整体组织功能,针对每个开发管道优化每个 AppSec 工具的规则集。

Code Dx 分类助手是一个 ASOC 工具,可进一步改进自动化过程。机器学习分类器根据先前的决策了解要处理的问题和漏洞。会审助手是专门为每个组织量身定制的,可减少误报、干扰或安全团队成员必须分类的不太重要的结果的数量。每自动分类 240 个结果,您的组织就可以节省相当于全职员工一周的时间。

集成和集中管理

ASOC 工具提供与 DevOps 的完全集成,无缝融入持续集成/持续交付 (CI/CD) 管道。与 Jira 等问题跟踪工具集成后,开发人员可以在其首选的工作环境中进行修复。开发人员可以在他们已经使用的工具和环境中获得有关安全相关问题的即时反馈。

ASOC 工具可让您的 AppSec 团队管理敏感信息(如工具凭据和应用程序登录)的传递。它还监控工具故障,并确保工具正确配置和更新。

ASOC 允许 AppSec 团队在集中式系统中报告和审核所有三个攻击面(自定义代码、第三方组件和网络)。

DevOps 不会放慢速度,但 ASOC 工具使安全性能够扩展 AppSec 流程并快速移动,而不会让问题在未被发现或未解决的情况下溜走。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9010

    浏览量

    85160
  • 源代码
    +关注

    关注

    96

    文章

    2944

    浏览量

    66655
  • 应用程序
    +关注

    关注

    37

    文章

    3240

    浏览量

    57593
收藏 人收藏

    评论

    相关推荐

    继电保护和安全自动装置检验规程2006版

    继电保护和安全自动装置检验规程2006版
    发表于 05-24 11:49

    继电保护和安全自动装置检验规程DL/T 995-2006

    继电保护和安全自动装置检验规程DL/T 995-2006继电保护检验规程和条例:本标准规定了电力系统继电保护和电网安全自动装置及其二次回路接线检验的周期,内容及要求。本标准适用于电网企业,交网运行
    发表于 06-21 09:39

    【楼宇自动化】防火与安全

    设备: 控制面板 是家庭和楼宇自动化消费者的主要接触点。深联华 产品系列支持广泛的设计方案,以满足简单或复杂的需求。检测器 是防火与安全解决方案的感觉器官。低功耗解决方案可以支持运动检测器、烟雾检测器
    发表于 01-13 15:57

    为何LED生产半自动化全自动化更受欢迎?

    。  一时间,全自动生产线成为各大厂商关注的焦点。理论上,全自动化能显著减少人工成本,而成为规模的救命稻草。但实际上,因设备成本投入大、LED照明工艺变化太快,导致照明自动化市场始终
    发表于 03-21 16:51

    汽车制造中的机械自动化技术应用

    识别机械构件的前提下,可以快速地完成整车组装,生产效率显著提升,且失误率大幅降低,有效保障了人身及设备财产安全 。2.3 工业控制系统的安全自动化全面优化在机械自动化技术在汽车制造的冲压车间应用最为典型
    发表于 02-28 09:18

    全自动端子机的保养方法

    自动化设备有限公司研发的全自动端子机就是整合了一个伺服器静音式端子机,它的原理和一般端子机并不是一样,只需要给伺服一个信息,这个信息在传给马达,然而全自动端子机就能行成一个动作。半自动
    发表于 05-29 10:39

    工厂自动化安全

    的设备。欧姆龙自动化& Safety具有全系列型号,特别是F3SG系列,可配置为适合许多安全应用。松下工业自动化销售部还有SF4B
    发表于 11-01 15:47

    云计算安全自动化将会有什么变化

    云计算安全自动化将会增加。企业将会在云计算中寻求更高的自动化安全性,寻找可以保护其私有云和公共云环境的供应商合作。
    发表于 03-18 10:29 526次阅读

    安全自动化的5种有意义的方法

    企业如今面临日益严重的网络威胁,安全自动化将为企业IT团队提供帮助。 关于安全性的一个棘手问题是,这就像是“打鼹鼠”的游戏。一次性处理可能很简单,因为许多漏洞可以修补,并且企业可能已经制定了使用安全
    的头像 发表于 12-10 15:08 2059次阅读

    工业和汽车领域自动化对功能安全的需求有增无减

    随着工业和汽车领域自动化的出现,人们对功能安全的需求有增无减。所有的工业应用都有功能安全要求,尤其是在工厂自动化和控制系统中。  在汽车行业,尽管
    的头像 发表于 10-19 11:09 3045次阅读
    工业和汽车领域<b class='flag-5'>自动化</b>对功能<b class='flag-5'>安全</b>的需求有增无减

    工业自动化如何实现无缝和安全协作所需的技术

    在工业自动化中,可访问性有两个不同的含义。首先,可访问性是指通过集成的安全系统将分散的劳动力连接起来。
    的头像 发表于 12-25 17:32 2684次阅读

    思博伦通信发布全新安全自动化软件包

    近日,领先的下一代设备和网络测试及保障解决方案供应商思博伦通信公司,宣布了一种适用于思博伦Landslide 5G核心网自动化测试平台的全新安全自动化软件包。
    的头像 发表于 05-11 10:30 1227次阅读

    全美自动化家庭安全系统

    电子发烧友网站提供《全美自动化家庭安全系统.zip》资料免费下载
    发表于 12-29 11:09 0次下载
    全美<b class='flag-5'>自动化</b>家庭<b class='flag-5'>安全</b>系统

    自动化系统的网络安全

    网络安全风险在各个行业都很常见,尤其是在自动化系统中。意识到共同的挑战,并在解决方案上进行合作,是确保当前和未来关键资产安全的有效方式。
    的头像 发表于 02-28 10:10 1064次阅读

    移动电源18650电芯全自动点焊机:高效、精准、安全|比斯特自动化

    移动电源18650电芯全自动点焊机:高效、精准、安全|比斯特自动化
    的头像 发表于 10-10 11:30 240次阅读