在今年的RSAC上,应用安全无疑是最热门的方向之一:《RSAC 2020趋势报告》中指出的十大趋势中,有两项和应用安全直接相关:“实现产品的设计、开发和运营安全”、“聚焦软件工程安全”;而今年创新沙盒比赛的十强名单中,竟然有五家都在做应用安全的相关方向。
但是,当我们翻开这些报告和公司简介,映入眼帘的都是“Product Security”、“DevSecOps”、“Code Security”、“WAF”、“Fuzzing”这些老生常谈的词汇。那么,有关应用安全的真正趋势、真正热点是什么呢?
软件成分分析(SCA)技术是指通过对软件的组成进行分析,识别出软件中使用的开源和第三方组件(如底层库、框架等等),从而进一步发现开源安全风险和第三方组件的漏洞。
通常,SCA的检测目标可以是源代码、字节码、二进制文件、可执行文件等的一种或几种。除了在安全测试阶段采用SCA技术对软件进行分析以外,SCA技术还可以集成到MSVC、Eclipse等IDE或SVN、Git等版本控制系统,从而实现对开发者使用开源组件的控制。
我们看一下这些产品的共性:
与研发工具链的集成是DevSecOps趋势下,应用安全产品必须具备的基本属性之一。譬如ForAllSecure的主打产品Mayhem,做为一款Fuzzing工具竟然可以和Travis、Jenkins以及Gitlab、Github等进行集成。
误报意味着需要人工介入进行审核,这样必然会打破整个自动化的构建流程。因此,为了顺应DevSecOps的需求,应用安全产品必须不断降低其误报率。以BluBracket为例,宣称其检测无误报。
更快的检测,意味着更快的产品发布节奏。在ShiftLeft的宣传中,50万行的代码检测仅需10分钟。
-
一是对应用程序安全测试计划的简化,以带来在管理工作流方面的效率提升;
-
二是为最关键的安全风险进行优先级排序,进而解决资源稀缺的问题。
原文始发于微信公众号(网络安全观):应用安全技术新风向
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论