如今，軟件主宰著世界，但仍然是一個(gè)巨大的、可訪問(wèn)的攻擊面。2022年，估計(jì)有60億美元投資于應(yīng)用安全，預(yù)計(jì)到2023年，這一數(shù)字將達(dá)到75億美元。在應(yīng)用安全內(nèi)部，軟件供應(yīng)鏈安全兩年前就開(kāi)始受到關(guān)注，這是應(yīng)用安全增長(zhǎng)最快的攻擊類(lèi)別，經(jīng)常發(fā)生重大漏洞和利用事件。

在此背景下，在不久的將來(lái)，應(yīng)用程序安全性將出現(xiàn)一些相關(guān)的大趨勢(shì)。首先，在預(yù)生產(chǎn)開(kāi)發(fā)環(huán)境中，開(kāi)發(fā)管道越來(lái)越復(fù)雜，并且依賴(lài)于第三方。其次，應(yīng)用程序安全和云安全之間的協(xié)同作用日益增強(qiáng)。這兩個(gè)趨勢(shì)定義了未來(lái)的安全挑戰(zhàn)和我們對(duì)現(xiàn)代應(yīng)用程序安全的預(yù)測(cè)。

1.云安全與應(yīng)用安全將開(kāi)始融合

在云中運(yùn)行的應(yīng)用程序的安全狀態(tài)主要由云配置和應(yīng)用程序代碼決定。多年來(lái)，云安全和應(yīng)用程序安全作為獨(dú)立的安全問(wèn)題運(yùn)行。然而，把它們放在一起看的好處正變得越來(lái)越明顯:

（1）統(tǒng)一態(tài)勢(shì):應(yīng)用程序風(fēng)險(xiǎn)是云和應(yīng)用程序安全態(tài)勢(shì)的結(jié)合。例如，應(yīng)用程序代碼漏洞和承載應(yīng)用程序的云服務(wù)的錯(cuò)誤配置都是確定攻擊面的基礎(chǔ)。它們是不可分割的，應(yīng)該一起分析和優(yōu)先排序。

（2）場(chǎng)景:漏洞修復(fù)的優(yōu)先級(jí)由云和應(yīng)用程序場(chǎng)景驅(qū)動(dòng)。例如，由面向互聯(lián)網(wǎng)的服務(wù)暴露的代碼中的漏洞可能比內(nèi)部服務(wù)中不可訪問(wèn)的代碼漏洞更需要修復(fù)。當(dāng)您同時(shí)擁有應(yīng)用程序和云場(chǎng)景時(shí)，有許多機(jī)會(huì)了解哪些漏洞對(duì)業(yè)務(wù)最關(guān)鍵。

（3）補(bǔ)救:有機(jī)會(huì)將在運(yùn)行時(shí)發(fā)現(xiàn)的漏洞追溯到預(yù)生產(chǎn)開(kāi)發(fā)環(huán)境中的代碼更改和所有者。將整個(gè)鏈鏈接在一起——從代碼到云——有助于快速確定問(wèn)題的根本原因，更有效地修復(fù)它，在某些情況下還可以自動(dòng)修復(fù)。

將云安全與應(yīng)用程序安全結(jié)合在一起是安全觀念的轉(zhuǎn)變。安全解決方案將繼續(xù)融合，這將為組織提供機(jī)會(huì)，將應(yīng)用安全和云安全工程師的職責(zé)合并，并提高效率和有效性。

2.開(kāi)源軟件更加安全

如果沒(méi)有數(shù)百個(gè)(或更多)第三方組件，幾乎不可能發(fā)布軟件。然而，開(kāi)源生態(tài)系統(tǒng)不斷受到攻擊，人們?cè)噲D通過(guò)隱藏的代碼插入、排字搶注和其他一些技術(shù)來(lái)操縱開(kāi)源庫(kù)和組件。

為了跟上這些持續(xù)不斷的網(wǎng)絡(luò)犯罪創(chuàng)新，新的舉措正在進(jìn)行中，將額外的安全控制引入開(kāi)源生態(tài)系統(tǒng)。我們期望看到:

軟件開(kāi)發(fā)公司對(duì)開(kāi)源驗(yàn)證的需求增加，包括信譽(yù)檢查、真實(shí)性檢查和持續(xù)的漏洞掃描。

開(kāi)源存儲(chǔ)庫(kù)(例如NPM)將對(duì)上傳的軟件提出更高的安全標(biāo)準(zhǔn)，以加強(qiáng)組織的檢查控制，從代碼簽名開(kāi)始。

更多第三方將包括軟件材料清單(SBOM)，可以在使用前進(jìn)行驗(yàn)證。

軟件安全度量的可用性不斷增加，以及用于在SDLC中和部署之前驗(yàn)證軟件使用的更通用的工具集將變得更加普遍。

3.代碼工廠攻擊面將繼續(xù)擴(kuò)大

針對(duì)開(kāi)發(fā)人員、代碼或構(gòu)建系統(tǒng)的攻擊大幅增加(根據(jù)一些來(lái)源，每年增長(zhǎng)460-660%)，增長(zhǎng)是巨大的。最近的事件包括OKTA的源代碼被盜，豐田的漏洞始于一個(gè)承包服務(wù)通過(guò)源代碼暴露敏感機(jī)密，大規(guī)模的LastPass漏洞始于一個(gè)受侵害的開(kāi)發(fā)人員，等等。

由于我們構(gòu)建軟件的現(xiàn)代方法:分布式工作人員、多個(gè)系統(tǒng)和插件、使用許多訪問(wèn)密鑰、令牌、機(jī)器帳戶和自動(dòng)化，SDLC作為一個(gè)攻擊面繼續(xù)增長(zhǎng)。這些都不會(huì)很快改變，只是變得更加復(fù)雜、異構(gòu)和分布式。

在LegitSecurity，當(dāng)我們運(yùn)行價(jià)值證明(PoV)項(xiàng)目時(shí)，我們會(huì)在潛在客戶環(huán)境中直接發(fā)現(xiàn)巨大的多樣性和漏洞范圍。我們發(fā)現(xiàn)和緩解的大多數(shù)安全問(wèn)題都是由于誠(chéng)實(shí)的錯(cuò)誤或安全知識(shí)的差距造成的。例如，我們不斷發(fā)現(xiàn)流氓構(gòu)建服務(wù)器和工件存儲(chǔ)，要么是遺留的，要么是由快速移動(dòng)的開(kāi)發(fā)團(tuán)隊(duì)快速生成的，它們是完全開(kāi)放的，并且包含敏感的源代碼和密碼。

現(xiàn)在的預(yù)生產(chǎn)開(kāi)發(fā)攻擊面太廣、太脆弱、目標(biāo)太豐富。不幸的是，預(yù)測(cè)2023年將發(fā)生更多涉及軟件供應(yīng)鏈漏洞的事件——從惡意篡改到代碼盜竊，再到開(kāi)發(fā)系統(tǒng)的敏感數(shù)據(jù)泄露等等。

4.安全軟件遵從性和SBOM

在SolarWinds受到攻擊后，美國(guó)政府已經(jīng)開(kāi)始要求供應(yīng)商包括一份簽署的SBOM，并為安全軟件開(kāi)發(fā)框架(SSDF)進(jìn)行審計(jì)。2023年，我們預(yù)計(jì)將看到:

當(dāng)軟件交付時(shí)，對(duì)應(yīng)用安全的需求增長(zhǎng)，而不僅僅是針對(duì)美國(guó)政府消費(fèi)者。越來(lái)越多的買(mǎi)家將要求他們的軟件供應(yīng)商提供SBOM，越來(lái)越多的供應(yīng)商將提供SBOM供下載。

企業(yè)將尋求在其管道中實(shí)現(xiàn)代碼簽名和認(rèn)證生成，以滿足SSDF的完整性要求。

B2B安全評(píng)估將需要更多安全開(kāi)發(fā)實(shí)踐的證據(jù)，并要求安全護(hù)欄、控制和自動(dòng)漏洞掃描的證據(jù)。

5.通過(guò)安全問(wèn)題場(chǎng)景實(shí)現(xiàn)更智能的優(yōu)先級(jí)

有一個(gè)悖論——使用現(xiàn)代開(kāi)發(fā)堆棧的安全和開(kāi)發(fā)團(tuán)隊(duì)遭受“漏洞疲勞”。安全問(wèn)題的數(shù)量是無(wú)法忍受的，它們產(chǎn)生的噪音分散了團(tuán)隊(duì)的注意力，減慢了他們?cè)噲D分類(lèi)和/或修復(fù)所有問(wèn)題的速度。例如，當(dāng)一個(gè)普通的容器映像立即產(chǎn)生數(shù)百個(gè)漏洞時(shí)——實(shí)際上，您應(yīng)該怎么做?

通常情況下，安全團(tuán)隊(duì)面臨著一個(gè)不可能的選擇。漏洞掃描器的可用性和功能以及社區(qū)中的安全知識(shí)是巨大的(這是一件令人驚訝的事情)——但人們一致認(rèn)為優(yōu)先級(jí)是一場(chǎng)噩夢(mèng)。“CVSS已死”這個(gè)詞最近被廣泛引用。

團(tuán)隊(duì)正在尋找更聰明的方法來(lái)確定優(yōu)先級(jí)。對(duì)更智能的安全態(tài)勢(shì)管理的需求不斷增長(zhǎng)——這可以通過(guò)依賴(lài)于應(yīng)用程序場(chǎng)景的更全面的風(fēng)險(xiǎn)方法來(lái)實(shí)現(xiàn)。因此，我們看到了“代碼到云”安全方法解決這個(gè)問(wèn)題的一個(gè)強(qiáng)有力的例子——能夠理解應(yīng)用程序的準(zhǔn)確解剖結(jié)構(gòu)，并將代碼風(fēng)險(xiǎn)與其運(yùn)行時(shí)(云)特征聯(lián)系起來(lái)。這為有意義的優(yōu)先級(jí)集中提供了很好的機(jī)會(huì)。

例如，安全工程師在看到安全問(wèn)題時(shí)可以問(wèn)自己的第一個(gè)問(wèn)題是——“這個(gè)東西是可利用的嗎?”，或者“這是外露的嗎?”，甚至“這段代碼在哪里運(yùn)行，這是處理敏感數(shù)據(jù)的業(yè)務(wù)關(guān)鍵型應(yīng)用程序的一部分嗎?”將看到更多的團(tuán)隊(duì)和更多的安全解決方案改變他們看待漏洞的方式，以及團(tuán)隊(duì)如何選擇專(zhuān)注于問(wèn)題并降低其他問(wèn)題的優(yōu)先級(jí)。

6.文化變更:應(yīng)用程序發(fā)布治理的執(zhí)行需求

應(yīng)用程序發(fā)布時(shí)仍然存在漏洞，這是事實(shí)。組織開(kāi)始意識(shí)到問(wèn)題不在于檢測(cè)漏洞的能力，而在于實(shí)施安全有效的端到端發(fā)布流程的能力。

現(xiàn)代的方法需要更多的開(kāi)發(fā)人員參與，包括“安全冠軍”程序，并向左移動(dòng)以包括更多的自動(dòng)化安全掃描。在一天結(jié)束的時(shí)候，安全和開(kāi)發(fā)團(tuán)隊(duì)仍然對(duì)安全的發(fā)布負(fù)責(zé)，他們現(xiàn)在面臨著更廣泛的挑戰(zhàn):如何構(gòu)建一個(gè)安全的應(yīng)用程序開(kāi)發(fā)管道。

這樣做的壓力已經(jīng)開(kāi)始從上到下。c級(jí)對(duì)演示保證每個(gè)軟件部署安全的有效發(fā)布過(guò)程的需求正在增加。我們稱(chēng)這種需求為“釋放治理”。

安全團(tuán)隊(duì)將尋找方法:

1.定義一個(gè)考慮到應(yīng)用程序場(chǎng)景的整體發(fā)布策略。

2.在管道中構(gòu)建一個(gè)補(bǔ)救工作流。

3.對(duì)安全的生產(chǎn)前開(kāi)發(fā)環(huán)境的覆蓋范圍和有效性具有實(shí)時(shí)可見(jiàn)性，具有跟蹤所有權(quán)、提供風(fēng)險(xiǎn)報(bào)告和調(diào)優(yōu)的能力。

我們預(yù)測(cè)，隨著時(shí)間的推移，這種更全面的應(yīng)用程序安全范式將占據(jù)主導(dǎo)地位。安全團(tuán)隊(duì)將推動(dòng)更多的自動(dòng)化和開(kāi)發(fā)協(xié)作，但安全的新優(yōu)先事項(xiàng)將是獲得過(guò)程的可見(jiàn)性和控制，以確保安全的應(yīng)用程序發(fā)布——強(qiáng)調(diào)跨團(tuán)隊(duì)的報(bào)告和問(wèn)責(zé)制。

現(xiàn)代應(yīng)用程序的未來(lái)-從不無(wú)聊的時(shí)刻

應(yīng)用程序安全是一場(chǎng)貓捉老鼠的游戲，充斥著快速變化、創(chuàng)新的攻擊和利用，以及不斷發(fā)展的安全解決方案。一些更大的趨勢(shì)正在發(fā)生，將永久性地改變這一動(dòng)態(tài)格局。

應(yīng)用安全與云安全將更加緊密。第三方軟件的安全性將升級(jí)，包括對(duì)消費(fèi)者的信任機(jī)制。安全漏洞的處理方式正在發(fā)生更大的轉(zhuǎn)變——首先是利用基于代碼到云可追溯性的場(chǎng)景風(fēng)險(xiǎn)，其次是將重點(diǎn)從分類(lèi)問(wèn)題轉(zhuǎn)移到擁有真正的發(fā)布治理。

人們受益于一個(gè)運(yùn)行在軟件上的世界，而軟件的安全性對(duì)我們所有人都至關(guān)重要。合法安全平臺(tái)在這里幫助迎來(lái)這個(gè)更安全的未來(lái)。這是為了現(xiàn)代應(yīng)用安全的未來(lái)，以確保一個(gè)安全可靠的世界。