应用程序漏洞关联 (AVC) 是 AppSec 领域内一个日益增长的趋势,它能极大地帮助组织过渡到 DevSecOps 模型。AVC 是指提供工作流和流程管理能力的工具,这些能力有助于加快软件开发生命周期 (SDLC) 中的漏洞修复。AVC 解决方案能够将 AST 结果标准化,采用通用的专用术语,将大量来自不同安全测试工具和数据源的结果关联且保存到中央存储库中,过滤掉重复结果,并评估漏洞的可利用率和严重性,这些可使安全活动的修复补救和优先级排序更有效。这可优化分类流程,并通过在工具、功能和补救利益相关者之间自动化执行流程,大大减少安全团队和开发团队之间的冲突摩擦。
希望在敏捷工作流程中确保软件质量,这一愿望推动了安全团队和开发团队日益向这样一种趋势发展:在 DevOps 速度下运行应用安全程序。但是,由于以下几个原因,这可能很难实现:
需要采用更为简单的方法来使用大量不断增长的 AST 安全结果并确定其中关键的工作,这一趋势正变得日益明显。在 2020 年 11 月对应用程序测试服务中的智能自动化进行的一项 Gartner 研究中,高级安全测试的成功用例包括能够使用测试结果并将其与相关业务指标关联起来,并从该分析中找出易受攻击的软件。这些能力对于确保更好的弹性、成本优化和产品质量至关重要。帮助组织有效地实现这一结果,其中有许多方面都依赖于拥有良好的 AVC 解决方案。
组织投资各种 AppSec 工具。常见的 AST 工具包括动态应用安全测试 (DAST)、静态应用安全测试 (SAST)、软件组件分析 (SCA) 和开源工具。每个工具搜索特定类型的软件缺陷、可利用性和问题来源,并在 SDLC 的不同阶段进行部署。SAST 和 SCA 通常用于构建/开发阶段,而 DAST 用于生产环境模拟期间在模拟的生产条件下发现问题。此外,在每种 AST 工具类别中,所支持的应用程序类型、检测能力以及编程语言可能因厂商而异。拥有全面的 appsec 方案可以转化为投资 AST 类别内的多个工具,并在 SDLC 的各个阶段实施适当的 AST 工具。
传统的 AppSec 工具通常无法满足敏捷 DevOps 环境的需求,因为孤立工具中的数据过多导致难以获得清晰、可行的见解。对待处理的应用程序漏洞进行整理,这使安全成为负责修复漏洞的开发团队面临的一个瓶颈。人工筛选 AppSec 噪声(包括误报和不同工具中的冗余发现)会降低开发速度和组织现有 AppSec 投资的有效性。
在分析 AppSec 数据时,安全团队必须从源自 SAST、DAST、SCA 和开源/第三方工具的不同的、分散的结果中整理出大量相关信息。这通常会增加分类过程的冗余性、复杂性和大量的时间延迟,因为分析师没有集中的存储库,其可用于检查类似缺陷之间的趋势,或筛选出不同工具之间的重复结果。AVC 解决的关键问题是 AppSec 测试工具生成的海量数据带来的挑战。借助其关联能力,AVC 工具可整合所有测试工具的结果,并可自动删除任何重复结果。
简而言之,AVC 可简化整个 SDLC 的 AST 结果,从而提高 DevSecOps 计划的有效性和效率。重要的是,出色的 AVC 解决方案还有助于增强您的整体软件风险管理,提高您的软件质量和开发实践。Synopsys 的 AVC 工具 Code Dx® 将来自不同类型的分析工具的结果关联起来,并优先处理最有可能被首先利用的安全问题。
AVC 工具提供一组关联的测试结果,且具有去重和标准化能力,可提供明确的风险定义和级别。在收集并关联这些结果后,出色的 AVC 工具随后会使用您自己的漏洞策略,来帮助确定这些漏洞的修复补救进行优先级排序和管理。它还让您能够将这些结果整合到已有的应用安全工具中。
基本上来说,AVC 工具会收集测试结果和策略中的所有现有数据,并提供清晰、简洁的单一可信来源,可以据此采取战略性的优先重要的活动。
AVC 工具可为您依赖的 AppSec 工具生成的不断增加的数据提供统一的视角。AVC 工具将 AppSec 工具的漏洞结果相关联,因此您可以准确了解应用程序中的漏洞。
这种简化的视图让您能够不再浪费宝贵的时间来管理工具,并精力集中在实际地修复应用程序中的漏洞。通过简化漏洞识别和修复,AVC 工具使您能够在漏洞被利用之前对其进行修复,从而降低总体风险水平。
支持不同的 AST 工具:
AppSec 可见性和效率:
风险和策略管理: