目前仍然處于早期發(fā)展階段的軟件安全面臨著兩個挑戰(zhàn)。首先是確保從業(yè)人員修復(fù)他們發(fā)現(xiàn)的安全缺陷，無論缺陷屬于什么類別。第二是擴(kuò)展到涵蓋整個企業(yè)范圍的產(chǎn)品組合(全部，當(dāng)然，也許是以基于風(fēng)險(xiǎn)的方式)。幸運(yùn)的是，在這兩方面，我們一直在取得進(jìn)展。

[[122603]]

修復(fù)你所發(fā)現(xiàn)的問題

應(yīng)用安全技術(shù)專家和行業(yè)分析師一直不斷地探討用于檢測軟件安全缺陷的方法。SAST、DAST、IAST和RASP都是Gartner公司認(rèn)可的漏洞檢查方法，它們都被扔到這場戰(zhàn)斗中。可悲的是，從技術(shù)上來講，并沒有最終的勝利者。這是因?yàn)槊糠N方法都有自己的優(yōu)缺點(diǎn)，并且這些方法往往相得益彰。

自Cigital公司在1999年推出其ITS4以來，SAST(即靜態(tài)應(yīng)用安全測試)已經(jīng)走過了漫長的發(fā)展道路。擴(kuò)展SAST是一個挑戰(zhàn)，在兩種情況下會遇到這個挑戰(zhàn)。第一種是通過圍繞一種工業(yè)級強(qiáng)度工具(例如Coverity、IBM Appscan Source或者HP/Fortify)建立一個工廠。第二種是部署基于IDE的桌面工具，例如Cigital SecureAssist。Aetna首席信息安全官Jim Routh和筆者在其他文章中也討論了SAST以及可擴(kuò)展性。(順便說一句，SAST和技術(shù)轉(zhuǎn)移是很好的議題)。

從局外人來看，DAST(即動態(tài)應(yīng)用安全測試)是關(guān)于動態(tài)黑盒測試。一般來說，DAST工具只適用于使用簡單通信協(xié)議(例如HTTP)的軟件。它對Web應(yīng)用的動態(tài)測試很有意義，但DAST在其設(shè)計(jì)中只有有限的目標(biāo)。這意味著DAST很適合Web應(yīng)用，但并不適用于大多數(shù)其他類型的軟件。

IAST(即交互式應(yīng)用安全測試)整合了動態(tài)和靜態(tài)方法到交互式解決方案中。很明顯的是，早期IAST方法(與DAST一樣)限制為Web應(yīng)用。如果你的產(chǎn)品組合中只有Web應(yīng)用，IAST是很好的方法。

RAST(即運(yùn)行時應(yīng)用自我保護(hù))是一種新方法，它主要是重寫軟件讓軟件可以在運(yùn)行時被監(jiān)控。這是有著悠久歷史的想法，同時它有著一個很大的缺陷：如果你在最后一刻重寫軟件，當(dāng)你因?yàn)檐浖收隙艿街肛?zé)時不要感到驚訝，即使你的重寫與故障沒有關(guān)系。筆者總是會說，“不要成為最后一個摸山芋的人”，這個建議也適用于RASP。從記錄來看，RASP還會帶來效率影響，1%到10%的范圍，這也需要考慮在內(nèi)。最后，如果你允許RASP來阻止代碼在主動攻擊期間在生產(chǎn)環(huán)境運(yùn)行，你等于創(chuàng)建了一個很好的拒絕服務(wù)引擎。總之，這是很新的方法。

事實(shí)證明，探討這些技術(shù)方法是非常愚蠢的行為，特別是當(dāng)涉及SAST、DAST和IAST時。多年以來，在該領(lǐng)域的從業(yè)人員通過各種方式整合這些技術(shù)來解決軟件安全中的重要問題。單靠一種方法幾乎永遠(yuǎn)不是正確的答案。

人的因素

軟件安全的骯臟小秘密解釋了這其中的原因：工具本身并不能解決軟件安全問題，特別是單純尋找漏洞的簡單工具。這是因?yàn)槿绻悴徽嬲鉀Q你發(fā)現(xiàn)的安全缺陷，你并不能在安全方面帶來改進(jìn)。如果沒有聰明的工作人員的參與，這些工具都無法修復(fù)缺陷。它們在發(fā)現(xiàn)漏洞的方式略有不同(我們甚至不會提涉及缺陷)。并且，這個真理適用于所有web應(yīng)用安全子域。

如果我們退后一步考慮這些技術(shù)，可以很容易看到SAST提供的優(yōu)勢超過DAST或其他任何動態(tài)測試方法。當(dāng)涉及修復(fù)軟件時，如果你知道代碼中哪里存在問題，則更容易修復(fù)這個問題。在另一方面，如果你只知道哪個運(yùn)行時glob在運(yùn)行時測試過程中存在問題，修復(fù)這個缺陷則是一個挑戰(zhàn)。正如在物理學(xué)中，白盒實(shí)驗(yàn)總是優(yōu)于黑盒實(shí)驗(yàn)。

由于開發(fā)者最終要負(fù)責(zé)創(chuàng)建盡可能少缺陷的軟件，任何能夠盡可能直接地幫助開發(fā)者的工具都是最有用的。在開發(fā)領(lǐng)域的這一點(diǎn)上，只有少數(shù)簡單漏洞可以完全自動化處理掉。這個測試仍將需要開發(fā)人員的參與來解決問題。

總之，在你設(shè)計(jì)巧妙的新方法來檢測漏洞時，確保你考慮了實(shí)際軟件修復(fù)。如果你的工具供應(yīng)商沒有談?wù)搯栴}如何得到修復(fù)，這里可能有原因。

擴(kuò)展到企業(yè)產(chǎn)品組合

說了這么多，對于軟件安全，各種類型的工具都是必不可少的。在這里，擴(kuò)展很重要。為了涵蓋大多數(shù)公司的整個產(chǎn)品組合(即所有軟件應(yīng)用)，自動化是真正唯一的出路。從其價值來看，設(shè)計(jì)分析和漏洞查找工具都是這樣，雖然在設(shè)計(jì)中我們有些工作會消除。

很長時間以來，風(fēng)險(xiǎn)管理被濫用為僅關(guān)注少數(shù)“高風(fēng)險(xiǎn)”應(yīng)用，而最終減去和忽略了其余的絕大多數(shù)應(yīng)用。雖然從效率來看這似乎是個好主意，但事實(shí)證明，攻擊者通常會瞄準(zhǔn)一切的事情。在現(xiàn)在的攻擊情況中，你產(chǎn)品組合中的每個軟件都應(yīng)該進(jìn)行一定水平的測試。攻擊者會瞄準(zhǔn)任何薄弱環(huán)節(jié)(包括暖通空調(diào)供應(yīng)商和其他小型供應(yīng)商)。目前新的薄弱環(huán)節(jié)是被忽略的應(yīng)用安全。

現(xiàn)在是時候利用整個產(chǎn)品組合中的工具和服務(wù)來不遺余力地尋找基本的漏洞了。

當(dāng)然，這些類型的解決方案仍然可以是基于風(fēng)險(xiǎn)的。你有高風(fēng)險(xiǎn)面向互聯(lián)網(wǎng)的應(yīng)用?請進(jìn)行一次徹底的架構(gòu)風(fēng)險(xiǎn)分析;使用強(qiáng)大的靜態(tài)分析工具來審查其代碼;培訓(xùn)開發(fā)人員來保持其安全性;執(zhí)行滲透測試以及進(jìn)行完整的she-bang，但不要將低風(fēng)險(xiǎn)應(yīng)用轉(zhuǎn)盤轉(zhuǎn)動至零。使用自動化測試來尋找和解決簡單漏洞。為開發(fā)人員配備基于IDE的靜態(tài)工具，并對他們進(jìn)行培訓(xùn)。

在你規(guī)劃和執(zhí)行你的軟件安全舉措(以及使用BSIMM進(jìn)行衡量)時，請確保這種可擴(kuò)展性發(fā)揮重要作用。