未来的应用程序安全形势依旧严峻

2022年初，许多企业争先恐后地寻找并修补在应用程序中广泛存在的关键漏洞—Log4j库,而在接下来的十二个月里却出现了更加严重的Log4Shell漏洞。这说明了目前大多数的企业并不熟悉应用程序的构成组件，更没有定期检查程序配置的工作流程，同时也说明了企业没有网络安全意识。由此，相关专家认为，2023年公司将继续与不安全的应用程序、脆弱的软件组件以及已受攻击的云服务开展斗争。

根据Sonatype发布的报告，2021年软件供应链攻击增长了633%，其中有41%的应用程序使用的是易受攻击的版本。同时，为降低成本提高收益，越来越多的企业选择将基础设施转移到云端，并采用了更多的Web应用程序。据统计，API的使用量在2021年增加了两倍，平均每个企业使用了15600个API。

Akamai安全技术和战略总监Tony Lauro对此表示，日益增多的云基础设施使用户成为企业基础设施的自然攻击载体。他认为，就算软件后端是安全的，攻击者也可以利用勒索软件、恶意软件、网络钓鱼或诈骗等方式对用户端进行攻击，从而导致后端的破坏。

网络安全仍然是一个非常年轻的行业，可电子邮件的存在时间已经超过了三十年，这就导致了大多数企业遭受网络钓鱼攻击都基于电子邮件。同时，网络钓鱼很容易窃取用户信息，这就很可能造成Web程序和云基础设施的破坏。桑坦德银行网络安全研究主管Daniel Cuthbert就曾在本月的黑帽欧洲安全会议上表示，这种基于电子邮件的网络钓鱼技术可以绕过多层应用程序安全，让攻击者访问敏感的数据、系统和网络。

同时，在5月份的黑帽亚洲会议上，研究人员也概述了如何通过Web应用程序防火墙（WAF），将恶意有效载荷交付给受保护的应用程序及其数据库。12月，两名研究人员也使用易受攻击的Spring Boot绕过Akamai的WAF。对此，Akamai的Lauro认为，企业对于WAF的依赖必须具有选择性。当WAF被用来阻止尚未或不能被修补的漏洞时，虚拟补丁是非常有效的。他表示，企业需要模拟攻击者会如何攻击该漏洞，再对漏洞提供虚拟补丁。因为作为攻击者，所做的第一件事就是寻找一些0day漏洞。

针对以上的情况，作为应用程序开发者应该做哪些措施呢？

保护软件供应链安全将成为AppSec的关键措施。例如，可以向开发人员提供记录软件组件信息的系统，通过该系统可以检查软件是否包含二进制代码、开发流程是否出现问题等。根据开放软件安全基金会（OpenSSF）的说法，通过这种方法可以有78%的可能性确定该项目是否脆弱。

同时，Chainguard的首席安全研究员John Speed Meyers认为，Sigstore代码签名技术将有效帮助开发人员了解和保护他们的供应链。

例如对于编程语言的选择，内存安全的编程语言几乎可以消除因软件缺陷而产生的安全风险。谷歌发现，使用Java和Rust等内存安全的编程语言，可以在三年内将漏洞数量从223个减少到85个。软件安全公司Sonatype的首席技术官Brian Fox认为，企业需要在选择安全工具和框架方面为开发人员提供更多的支持和回旋余地。他说，企业需要认清现实，明白开发人员需要做出哪些改变才能够维护网络安全环境，同时，企业更要支持开发人员在生产过程中的选择。

www.darkreading.com/application-security/internet-appsec-remains-abysmal-requires-sustained-action-in-2023