准备搭乘DevSecOps列车
对于大多数企业来说,首先应实施可靠的应用安全(AppSec)和DevSecOps的基础实践,然后逐步转向更高级的DevSecOps实践。在规划和开始企业迁移到DevSecOps时,其至少需要典型DevSecOps生命周期中的相关活动。
01开发(计划、代码、构建)
第一步是确定哪些安全需求适用于正在开发的应用程序。例如,如果企业正在处理和存储敏感数据或个人识别信息(PII),企业需要了解存储和处理这些数据的安全要求。
02试验(测试、发布、部署)
安全测试在整个发布和部署过程中继续进行。企业应该利用自动化工具(如SAST、DAST、IAST和SCA),以及手动测试活动(如代码审查和渗透测试)。
03操作和监控
尽可能使用日志记录和监视工具,并实施事件响应流程,以便快速响应安全警报。部署自动化测试(如DAST)、纵深防御解决方案(如RASP)和/或更传统的WAF技术以保护生产中的应用程序。
选择正确的现代应用安全工具
01静态应用安全测试(SAST)
SAST也被称为静态分析,是第一批发现源代码和字节代码或二进制文件本身缺陷的AppSec工具之一。
02动态应用程序安全测试(DAST)
DAST技术在运行状态下对应用程序进行爬行和分析,与SAST一样,它只能识别扫描引擎已知存在的漏洞和配置问题。传统的DAST扫描仪通常测试公开的HTML接口,但更先进的DAST扫描器也可以测试REST API。
03软件组合分析(SCA)
由于开源组件带来的风险增加,SCA工具在过去几年变得越来越流行。该工具能识别源代码、容器和注册表中的开源漏洞。大多数SCA工具还能够检查开源许可合规性和归属要求
04交互式应用安全测试(IAST)
IAST是一种较新的技术,它使用代理和传感器在自动测试和/或手动测试期间持续分析应用程序以测试缺陷。典型的IAST实现是SAST和DAST的混合,它们部署在应用程序中运行的代理或传感器上。
05运行时应用程序自我保护(RASP)
RASP是一种新技术,它集成到应用程序中,并分析用户流量和行为模式以阻止和防止攻击。RASP部署在生产服务器上,其工作方式更像传统的web应用程序防火墙(WAF),但RASP技术使用AI和机器学习来代替正则表达式匹配。
默安科技多年来致力于提供贯穿完整业务生命周期的左移开发安全DevSecOps能力,根据该企业自身开发项目管理体系,将雳鉴SAST、IAST检测工具与现有的工具链整合,协助客户制定和完善开发过程中的相关流程与规范,辅以安全培训提升人员安全开发能力,构建完善、统一、可跟踪、可度量的开发安全体系,能将99%的已知高危漏洞消灭在开发阶段。
随着攻击的速度、复杂性和频率不断提高,从一开始就提高应用程序安全性对于数据、系统、隐私甚至关键基础设施至关重要。
京公网安备 11010802033237号
