[[442277]]

2022年將是越來越多的組織開始利用應(yīng)用程序安全(AppSec)作為業(yè)務(wù)推動因素的一年。傳統(tǒng)上，AppSec被視為阻礙業(yè)務(wù)進展的資源密集型障礙。但是現(xiàn)在，這種觀念發(fā)生了顛覆，組織逐漸意識到AppSec與我們構(gòu)建、部署和運行軟件的方式密不可分，而且它對于企業(yè)安全和合規(guī)性同樣至關(guān)重要。同時，通過AppSec自動化還可以減少保護軟件所需的時間和資源。

對于軟件開發(fā)的企業(yè)而言，2022年將是AppSec重要性愈發(fā)凸顯的一年。當(dāng)AppSec工具自動運行，并且結(jié)果與現(xiàn)有流程和問題追蹤器集成時，開發(fā)人員可以將修復(fù)安全漏洞作為其日常工作流程，無需再單個系統(tǒng)的手動操作，也無需逐條瀏覽安全團隊的數(shù)千頁PDF報告，來試圖找到需要做的事情。當(dāng)安全測試自動化并集成到安全開發(fā)過程中時，它就成為了應(yīng)用程序開發(fā)的無縫部分。

與此同時，企業(yè)組織也開始認識到AppSec是風(fēng)險管理的關(guān)鍵部分，正確實施AppSec計劃能夠帶來商業(yè)利益。好的AppSec意味著更少的軟件漏洞，這也就意味著更少的災(zāi)難或令人尷尬的聲譽風(fēng)險，但同時也會導(dǎo)致更少的支持案例、更少的緊急更新、更高的生產(chǎn)力和更安心的客戶。但是，企業(yè)組織如何才能將這些知識轉(zhuǎn)化為力量呢?

應(yīng)用安全編排和關(guān)聯(lián)(Application security orchestration and correlation，通常稱為ASOC)可以提供兼顧開發(fā)速度與安全的解決方案。雖然業(yè)內(nèi)都明白開發(fā)安全的重要性，但他們普遍認為增加安全性投入會降低開發(fā)速度。

在現(xiàn)代軟件開發(fā)過程中，速度是關(guān)鍵。構(gòu)建速度要求比以往任何時候都快。僅在Android上，F(xiàn)acebook每天就有50,000到60,000次構(gòu)建。此外，據(jù)報道，亞馬遜每秒都會將新軟件部署到生產(chǎn)中。換句話說，每天有86,400次構(gòu)建。

ASOC工具通過自動化工作流來簡化軟件漏洞的測試和修復(fù)。首先是安全測試自動化，其次將來自多個源(SAST、DAST、IAST、SCA、漏洞評估等)的數(shù)據(jù)提取到數(shù)據(jù)庫中，再通過關(guān)聯(lián)和分析檢測結(jié)果，以實現(xiàn)修補措施的統(tǒng)一和優(yōu)先級排序。

隨著DevSecOps越來越被廣大企業(yè)所接受，ASOC在兩個關(guān)鍵領(lǐng)域所提供的便利將越來越明顯：一是對應(yīng)用程序安全測試計劃的簡化，以帶來在管理工作流方面的效率提升;二是為最關(guān)鍵的安全風(fēng)險進行優(yōu)先級排序，進而解決資源稀缺的問題。

2019年，分析公司Gartner將“ASOC”一詞添加到了炒作周期中，進一步肯定了其重要性。未來，ASOC還會有更大的發(fā)展空間，因為它可以幫助開發(fā)人員過濾信息過載的噪音。

但要如何實現(xiàn)呢?一個有效的ASOC解決方案將完成以下五件主要的事情，以提升軟件安全測試的效果，同時跟上不斷加快的開發(fā)步伐：

執(zhí)行測試

ASOC使用企業(yè)組織擁有的任何AppSec測試工具運行應(yīng)用安全測試。工具的編排組件經(jīng)過編程，以適應(yīng)被測試的應(yīng)用類型和組織的需求，可確保在正確的時間進行正確的測試。

關(guān)聯(lián)結(jié)果

不同的測試工具以不同的格式和命名法呈現(xiàn)結(jié)果。ASOC將它們標(biāo)準(zhǔn)化為統(tǒng)一的命名法，然后匹配它們以消除冗余。然后將結(jié)果組合，并聚合成超集。

優(yōu)先排序

并非所有的軟件漏洞都是同等水平的：有些微不足道，但有些則是至關(guān)重要的。開發(fā)團隊?wèi)?yīng)該專注于關(guān)鍵的事情。強大的ASOC工具可以通過兩種方式實現(xiàn)優(yōu)先排序：首先，通過可定制的規(guī)則，組織可以優(yōu)先修復(fù)某些漏洞;第二種方法是通過機器學(xué)習(xí)(ML)來了解哪些項目應(yīng)該重點關(guān)注和修復(fù)，哪些應(yīng)該忽略。執(zhí)行掃描時，ASOC工具應(yīng)該能夠向開發(fā)人員顯示一組基于先前活動的結(jié)果，這些結(jié)果反映了其修復(fù)優(yōu)先級。

追蹤修復(fù)

優(yōu)秀的ASOC工具可以擁有最高優(yōu)先級，以快速發(fā)現(xiàn)漏洞，并在漏洞追蹤器(例如Jira、Bugzilla)中自動打開工單。它可以將信息連同漏洞的類型、它在代碼中的位置一起發(fā)送給開發(fā)人員，還可以提供修復(fù)指導(dǎo)。此外，它還可以驗證漏洞何時得到糾正，并在完成后自動關(guān)閉故障單——這被稱為雙向問題追蹤器集成。

中心化平臺

分析師或高管不需要使用每個單獨的工具來了解軟件存在哪些問題，以及正在采取哪些措施來解決這些問題。ASOC解決方案可以充當(dāng)AppSec記錄系統(tǒng)。它還可以幫助安全主管回答一些基本問題，這些問題在關(guān)于“安全團隊如何最大限度地降低業(yè)務(wù)風(fēng)險”的董事會討論中，以及存在有關(guān)安全合規(guī)問題的情況下都發(fā)揮著重要作用。此類問題可能包括：

軟件是否經(jīng)過測試以及何時測試?

• ASOC 將這些信息存儲在其中央數(shù)據(jù)日志中，并且可以全面呈現(xiàn)。

發(fā)現(xiàn)了哪些安全和質(zhì)量缺陷?

• 雖然這看似是一個很容易回答的問題，但如果您的所有結(jié)果都在不同的孤島中，它可能會變得異常復(fù)雜。一個有效的ASOC 解決方案可以很容易地回答這個問題，因為它已經(jīng)記錄了各種AppSec工具和技術(shù)確定的所有問題，并對其進行了優(yōu)先排序。

這些問題解決了嗎?

• 如果ASOC解決方案連接了漏洞跟蹤器并記錄了修復(fù)狀態(tài)，您幾乎可以立即回答這個問題。

我在哪里能看到我的風(fēng)險狀態(tài)?

• ASOC解決方案可為風(fēng)險報告提供單一平臺。

本文翻譯自：https://www.information-age.com/2022-will-see-rise-in-application-security-orchestration-correlation-asoc-123498130/如若轉(zhuǎn)載，請注明原文地址。