ASOC系列：如何通过应用安全自动化扩展应用安全

在应用程序安全编排和关联 （ASOC） 系列的第一部分中，我们研究了这种新的应用程序安全趋势如何提高 DevSecOps 效率。现在，我们将重点关注 AppSec 团队因当今快速开发周期而面临的典型挑战，以及 ASOC 工具如何通过自动化和可扩展性解决这些挑战。

问题：AppSec 跟不上 DevOps 的步伐

应用程序安全团队经常难以跟上 DevOps 团队生成的快速代码发布。随着开发速度的加快，测试不可避免地会落后。

很难在开发周期的后期返回应用程序代码并修复每个可能的问题。审查和修复六个月前编写的代码中的漏洞并不容易，开发人员通常不希望仅仅因为可能存在安全风险而解决有效的代码。结果是经常发布不安全的软件，这增加了违规的风险。

解决方案不是放慢开发速度，以便安全性能够赶上;相反，成功的应用程序开发需要速度和安全性之间的同步性，速度和安全性都得到应有的持续和同等的关注。速度和安全性之间的协调是转向DevSecOps的原因。

许多公司正在做出这种转变。Gartner 最近的一份报告揭示了几个关键数据点，这些数据点表明了向此应用程序安全最佳实践过渡的加速：

到90年，2022%的软件开发项目将声称遵循DevSecOps模型，而40年这一比例仅为2019%

到 70 年，2023% 的 DevSecOps 计划将包含自动化安全漏洞和配置扫描，而 30 年这一比例仅为 2019%

到 60 年，2021% 的快速开发团队将嵌入 DevSecOps 实践，而 20 年这一比例为 2019%

这些计划很有希望，但对于许多组织来说，将安全性完全集成到设计和开发过程中的真正 DevSecOps 方法可能具有挑战性。全面的应用程序安全测试既耗时又耗费资源。分析师必须评估所有攻击面的漏洞，包括自定义代码、第三方组件以及软件应用程序所在的网络。

AppSec 团队需要运行各种工具，包括：

静态应用程序安全测试 （SAST） 工具

动态应用程序安全测试 （DAST） 工具

交互式应用程序安全测试 （IAST） 工具

软件组合分析 （SCA） 工具

威胁建模工具

除了运行上面列出的工具外，AppSec 团队还使用方法，例如：

渗透测试

手动代码审查

网络漏洞分析

漏洞赏金

这些工具和审查通常在不同的时间和频率运行，具体取决于给定项目在软件开发生命周期 （SDLC） 中的位置。许多 AppSec 工具的配置和运行都很复杂。载入和维护需要时间，我们鼓励 AppSec 团队在同一类别中运行多个工具，例如多个 SAST 工具和 DAST 工具。一个软件开发项目在SDLC的过程中可能需要几十种工具，每个工具都有自己的用户界面（更不用说特殊性了）。

通常，相同的工具用于多个项目，需要多个配置。不相互集成的工具会产生不一致的结果，报告格式不同。识别误报以及关联结果并确定其优先级可能需要数周（或更长时间）的时间。

此外，许多企业管理多个构建服务器。例如，除了 TeamCity、Azure 和其他服务的多个实例之外，可能还有数百个 Jenkins 服务器。如果没有编排，就不可能将应用程序安全性烘焙到这些系统中的每一个系统中。

使问题更加复杂的是安全团队成员与开发人员的比例较低。开发人员的数量超过安全团队成员的比例为 100：1。当您考虑每个开发人员的工作速度时，安全性没有太多机会识别和修复所有潜在漏洞。

难怪 AppSec 无法跟上开发团队的步伐并有效地跟踪漏洞。

解决方案：使用 ASOC 实现应用安全自动化和编排

组织需要一种方法来集中和协调所有开发管道中的 AppSec 测试，使其成为可扩展、可重复和自动化的流程。这允许安全性以 DevOps 的速度移动并停止阻塞开发管道。

ASOC 是实现自动化和可扩展性的解决方案。由于我们已经在本系列的第一篇文章中详细介绍了 ASOC，因此我们将只关注实现可扩展性的方面。

配器

业务流程可提高 AppSec 测试的速度，并确保运行所有适当的测试。业务流程可自动执行扫描过程，以确保特定工具始终以特定间隔跨多个生成服务器运行。ASOC 工具分析源代码以识别使用的语言，然后自动找出要为特定应用程序运行的相应 AppSec 工具。这将创建一个一致且标准化的流程，无论有多少个不同的开发团队正在处理不同的项目。

工具编排为 AppSec 测试提供了标准化的自动化流程，从而可以更轻松地将新应用程序载入安全管道。它还减少了安装、配置和更新 AppSec 测试工具所需的时间。换句话说，编排允许 AppSec 团队根据需要扩展其测试活动。

关联和重复数据删除

ASOC 工具自动运行、收集和关联来自每种 AppSec 工具和测试方法的结果，包括手动审查、漏洞赏金、源代码分析器、自动和手动渗透测试、软件组合分析器和网络漏洞评估器。这减少了 AppSec 团队需要查看的结果数量。

优先次序

智能自动化允许 AppSec 团队使用以前的原始结果和修复活动为每个应用程序选择安全测试工具的最佳组合。可以根据应用程序的关键性、法规合规性要求和整体组织功能，针对每个开发管道优化每个 AppSec 工具的规则集。

Code Dx 分类助手是一个 ASOC 工具，可进一步改进自动化过程。机器学习分类器根据先前的决策了解要处理的问题和漏洞。会审助手是专门为每个组织量身定制的，可减少误报、干扰或安全团队成员必须分类的不太重要的结果的数量。每自动分类 240 个结果，您的组织就可以节省相当于全职员工一周的时间。

集成和集中管理

ASOC 工具提供与 DevOps 的完全集成，无缝融入持续集成/持续交付 （CI/CD） 管道。与 Jira 等问题跟踪工具集成后，开发人员可以在其首选的工作环境中进行修复。开发人员可以在他们已经使用的工具和环境中获得有关安全相关问题的即时反馈。

ASOC 工具可让您的 AppSec 团队管理敏感信息（如工具凭据和应用程序登录）的传递。它还监控工具故障，并确保工具正确配置和更新。

ASOC 允许 AppSec 团队在集中式系统中报告和审核所有三个攻击面（自定义代码、第三方组件和网络）。

DevOps 不会放慢速度，但 ASOC 工具使安全性能够扩展 AppSec 流程并快速移动，而不会让问题在未被发现或未解决的情况下溜走。

审核编辑：郭婷