应用程序安全态势管理 (ASPM) 是一种全面的应用程序安全 (AppSec) 方法,它提供单一可信来源,以识别、关联并确定整个软件开发生命周期 (SDLC,从开发到部署) 中的安全漏洞优先级。ASPM 解决方案可关联和分析各种来源的数据,以简化问题解释、分类和补救。这些解决方案还管理和编排各种安全工具,以实施安全策略。借助 ASPM,安全团队可以利用整个软件开发环境中的安全和风险状态综合视图来集中管理应用程序安全问题。
有效的 ASPM 解决方案应具有几个关键功能。
与第三方工具集成:为了提供价值,ASPM 解决方案必须能够从包括开发、部署和运营在内的不同来源提取数据。能够在现有开发环境中发挥作用是 ASPM 解决方案提高 AppSec 计划功效的核心所在。这需要解决方案具备与手动和自动化 AppSec 测试工具、开发者工具和问题跟踪系统集成的能力。与映射软件资产、安全数据和工单的关键数据源的连接对于 ASPM 解决方案如何确保异构开发环境中的可见性至关重要。
集中策略:启用可扩展的 AppSec 工作流对于 ASPM 解决方案如何跨团队、项目和工具标准化安全实践至关重要。这需要 ASPM 解决方案集中定义、执行和监控编排测试和优先级的安全策略。此外,将这些安全策略定义为代码,能够使安全和开发团队在 pipeline 中无缝地集成问题评估、控制、补救和验证,并保持持续的合规性。
优先级和分类:AppSec 管理的第一个障碍在于设法整合相关数据点并标准化工作流,但安全团队还必须能够利用这些 ASPM 功能来维持开发人员的生产率。ASPM 解决方案应剔除工具间的重复结果,并根据集中定义的风险标准策略,帮助确定团队应首先解决的问题的优先级。该风险标准可以包括问题严重性、软件关键性以及所定义的补救 SLA。借助这些功能,开发人员可以消除不必要的上报,并专注于最重要的安全工作。
风险管理:ASPM 解决方案必须能够提供整个组织软件中风险状况的总体视图。它应包括对如下各项的详细分类说明:易受攻击的软件组件和应用程序的位置、问题解决的状态以及任何违反策略和合规性的行为。实际上,安全领导者需要能够利用 ASPM 解决方案来审核其应用程序,从软件角度了解其组织风险,并生成有关 AppSec 计划有效性的关键 KPI。
随着应用程序变得越来越复杂,各组织正在努力应对为保护这些应用程序而构建的 AppSec 计划的复杂性和运营成本。这种复杂性使得实施一致的 AppSec 实践、了解应用程序的风险状况以及衡量整个计划的有效性变得困难。ASPM 工具通过为团队提供统一的位置来管理整个 AppSec 计划、更好地协调安全和开发团队,并为他们提供关于已测试内容、已发现内容和正在修复内容的综合视图来解决这些挑战。
Synopsys 软件风险管理是一个全面的 ASPM 解决方案,使团队能够