由 COVID-19 大流行引起的大規(guī)模轉(zhuǎn)向遠(yuǎn)程工作，提高了許多組織對(duì)彈性應(yīng)用安全實(shí)踐的需求。

除了應(yīng)對(duì)這些天應(yīng)用程序發(fā)布的大量和頻率之外，應(yīng)用程序安全團(tuán)隊(duì)現(xiàn)在還必須應(yīng)對(duì)與遠(yuǎn)程工作和簽入來自全球各地的代碼相關(guān)的挑戰(zhàn)。

隨著應(yīng)用程序每周、每天甚至每小時(shí)發(fā)布到生產(chǎn)環(huán)境中，DevSecOps 中的“秒”確實(shí)從未像現(xiàn)在這樣相關(guān)或重要。是時(shí)候確保您的應(yīng)用安全方法具有網(wǎng)絡(luò)彈性了。這里有五個(gè)需要關(guān)注的領(lǐng)域。

1.自動(dòng)化

自動(dòng)化對(duì)于網(wǎng)絡(luò)彈性至關(guān)重要。您需要利用工具，以使應(yīng)用安全解決方案盡可能無接觸和流程驅(qū)動(dòng)。理想情況下，任何可以自動(dòng)化的東西都應(yīng)該是自動(dòng)化的，而彈性系統(tǒng)將允許這樣做。事實(shí)上，一個(gè)有彈性的系統(tǒng)不僅會(huì)允許它，而且還會(huì)推動(dòng)自動(dòng)化。

想象一下未來的環(huán)境，如果您需要突然掃描 1,000 個(gè)應(yīng)用程序，您可以自動(dòng)增加處理該容量所需的掃描儀數(shù)量。如果容量發(fā)生變化并且您不再需要那么多掃描儀，那么您的系統(tǒng)就足夠智能，可以解決這個(gè)問題并自動(dòng)降低數(shù)量。

在一個(gè)真正有彈性的系統(tǒng)中，自動(dòng)化將允許開發(fā)人員編寫和提交代碼，并且掃描就會(huì)發(fā)生。你不應(yīng)該做任何事情。系統(tǒng)會(huì)自動(dòng)刪除您無法修復(fù)的內(nèi)容、在您的環(huán)境中不重要的內(nèi)容、或您的 KPI 和類似性質(zhì)的內(nèi)容。這幾乎就像您踩下汽車的油門踏板一樣。有很多事情要做，但你不需要知道引擎除了它所做的任何事情。這是相當(dāng)強(qiáng)大的。

最終，目標(biāo)應(yīng)該是擁有像拼寫檢查器一樣自我修復(fù)的代碼。我們還沒有到那一步，但有一天會(huì)有足夠的智能讓你相信系統(tǒng)可以自行修復(fù)問題。

2. 有可操作的結(jié)果

您的應(yīng)用安全計(jì)劃應(yīng)專注于推動(dòng)測(cè)試結(jié)果的可操作性。它應(yīng)該以您今天需要關(guān)注的事情為中心。從歷史上看，當(dāng)您真正需要的只是與組織和您相關(guān)的問題列表時(shí)，應(yīng)用程序安全解決方案傾向于為您提供要解決的問題的清單。

一個(gè)有彈性的系統(tǒng)將專注于你今天需要解決的 10 件事，而不是你可能需要隨著時(shí)間的推移解決的 1000 件事。它使用智能來識(shí)別可能影響或阻止您投入生產(chǎn)的問題。

可操作性是自動(dòng)化的一部分。這意味著開發(fā)人員可以編寫一些代碼，而在幕后對(duì)代碼進(jìn)行評(píng)估并盡快顯示相關(guān)且需要修復(fù)的內(nèi)容。這就像從一匹馬和一輛馬車變成一輛特斯拉。

3.支持更頻繁的掃描

您將代碼安全地發(fā)布到生產(chǎn)環(huán)境中的能力以及遙測(cè)的速度在很大程度上取決于您能夠掃描應(yīng)用程序的頻率。您需要應(yīng)用程序安全性的彈性，因?yàn)槟鷵碛懈鄳?yīng)用程序并且您正在更頻繁地掃描它們。這給應(yīng)用安全團(tuán)隊(duì)、開發(fā)人員和 CISO 帶來了很大壓力。

彈性系統(tǒng)支持可擴(kuò)展的掃描容量，從 1 次掃描到 1+n 次。雖然可擴(kuò)展性與掃描儀數(shù)量和您擁有的應(yīng)用程序數(shù)量有關(guān)，但彈性系統(tǒng)中的頻率與您掃描這些應(yīng)用程序的頻率有關(guān)。

例如，如果您使用 GitHub 并且您每天掃描或提交 20 次，則您需要有一個(gè)足夠有彈性的系統(tǒng)來處理該頻率。這是關(guān)于具有突發(fā)功能，可以在達(dá)到閾值時(shí)打開更多掃描，而無需打電話給某人或去尋找其他產(chǎn)品。比如說，你只需在 Docker 中啟動(dòng)另一個(gè)容器，就完成了。

4. 覆蓋范圍廣

現(xiàn)代 Web 應(yīng)用程序非常受 Web 服務(wù)驅(qū)動(dòng)，您擁有的 Web 服務(wù)和 API 越多，應(yīng)用程序的風(fēng)險(xiǎn)就越大。彈性是指擁有一個(gè)應(yīng)用安全解決方案，它不僅可以解決您現(xiàn)在正在做的事情，而且還具有應(yīng)對(duì)未來挑戰(zhàn)的靈活性和可擴(kuò)展性。

您的解決方案需要與云無關(guān)，并具有涵蓋本地和 SaaS 環(huán)境的靈活性。它應(yīng)該能夠快速支持新的語言和框架。覆蓋面廣度意味著支持企業(yè)現(xiàn)在和未來需要掃描的各種語言。大多數(shù)企業(yè)不僅僅擁有 .NET 或 Java，它們還擁有數(shù)十種語言。

如果您從 .NET 商店開始，并且擁有 .NET 的靜態(tài)分析功能，那么如果有新團(tuán)隊(duì)加入或收購另一家公司，您是否有能力支持 Java？還是您需要出去購買一套全新的產(chǎn)品？一個(gè)有彈性的應(yīng)用程序安全系統(tǒng)將能夠掃描這些新應(yīng)用程序，您可以簡(jiǎn)單地決定要利用哪種模型，從 SaaS 或內(nèi)部部署到混合。

5. 確保它是可擴(kuò)展的

在彈性系統(tǒng)中，您無需添加基礎(chǔ)架構(gòu)即可獲得更多掃描功能。您的系統(tǒng)將與云無關(guān)，并且能夠按需啟動(dòng)掃描服務(wù)器，并在您不需要它們時(shí)同樣輕松地關(guān)閉它們。只需幾分鐘，您就可以從需要額外容量來掃描更多應(yīng)用程序轉(zhuǎn)變?yōu)閮H打開額外容量。

許可靈活性對(duì)于可擴(kuò)展性至關(guān)重要。它需要足夠靈活，這樣您就不必在每次需要額外容量進(jìn)行靜態(tài)或動(dòng)態(tài)測(cè)試時(shí)都購買另一個(gè)許可證。您的許可證應(yīng)該允許您根據(jù)需要和掃描容量來回移動(dòng)。

為什么網(wǎng)絡(luò)彈性是關(guān)鍵

Verizon 年度數(shù)據(jù)泄露調(diào)查報(bào)告的最新版本顯示，Web 應(yīng)用程序漏洞是網(wǎng)絡(luò)犯罪分子的首要目標(biāo)。Verizon 在 2019 年調(diào)查的數(shù)據(jù)泄露事件中，約有 40% 實(shí)際上涉及應(yīng)用程序漏洞。

很明顯：強(qiáng)大的應(yīng)用程序安全計(jì)劃對(duì)企業(yè)網(wǎng)絡(luò)彈性至關(guān)重要。按照上面的指導(dǎo)來改變你的方法。

保持學(xué)習(xí)

• 未來是安全即代碼。通過 TechBeacon 指南了解 DevSecOps 如何幫助您實(shí)現(xiàn)目標(biāo)。另外：請(qǐng)參閱 SANS DevSecOps 調(diào)查報(bào)告，了解對(duì)從業(yè)者的重要見解。
• 使用 TechBeacon 指南快速了解應(yīng)用程序安全測(cè)試的狀態(tài)。另外：獲取 Gartner 的 2021 年 AST 魔力象限。
• 通過 TechBeacon 的 2021 年應(yīng)用程序安全工具指南了解應(yīng)用安全工具領(lǐng)域。
• 下載免費(fèi)的 Forrester Wave 靜態(tài)應(yīng)用程序安全測(cè)試。另外：在此網(wǎng)絡(luò)研討會(huì)中了解 SAST-DAST 組合如何提高您的安全性。
• 了解 API 安全需要訪問管理的五個(gè)原因。
• 了解如何為未來十年制定應(yīng)用安全策略，并在應(yīng)用安全開發(fā)人員的生活中度過一天。
• 使用 TechBeacon 指南構(gòu)建現(xiàn)代應(yīng)用安全基礎(chǔ)。