在應用程序安全編排和關聯 （ASOC） 系列的第一部分中，我們研究了這種新的應用程序安全趨勢如何提高 DevSecOps 效率。現在，我們將重點關注 AppSec 團隊因當今快速開發周期而面臨的典型挑戰，以及 ASOC 工具如何通過自動化和可擴展性解決這些挑戰。

問題：AppSec 跟不上 DevOps 的步伐

應用程序安全團隊經常難以跟上 DevOps 團隊生成的快速代碼發布。隨著開發速度的加快，測試不可避免地會落后。

很難在開發周期的后期返回應用程序代碼并修復每個可能的問題。審查和修復六個月前編寫的代碼中的漏洞并不容易，開發人員通常不希望僅僅因為可能存在安全風險而解決有效的代碼。結果是經常發布不安全的軟件，這增加了違規的風險。

解決方案不是放慢開發速度，以便安全性能夠趕上;相反，成功的應用程序開發需要速度和安全性之間的同步性，速度和安全性都得到應有的持續和同等的關注。速度和安全性之間的協調是轉向DevSecOps的原因。

許多公司正在做出這種轉變。Gartner 最近的一份報告揭示了幾個關鍵數據點，這些數據點表明了向此應用程序安全最佳實踐過渡的加速：

到90年，2022%的軟件開發項目將聲稱遵循DevSecOps模型，而40年這一比例僅為2019%

到 70 年，2023% 的 DevSecOps 計劃將包含自動化安全漏洞和配置掃描，而 30 年這一比例僅為 2019%

到 60 年，2021% 的快速開發團隊將嵌入 DevSecOps 實踐，而 20 年這一比例為 2019%

這些計劃很有希望，但對于許多組織來說，將安全性完全集成到設計和開發過程中的真正 DevSecOps 方法可能具有挑戰性。全面的應用程序安全測試既耗時又耗費資源。分析師必須評估所有攻擊面的漏洞，包括自定義代碼、第三方組件以及軟件應用程序所在的網絡。

AppSec 團隊需要運行各種工具，包括：

靜態應用程序安全測試 （SAST） 工具

動態應用程序安全測試 （DAST） 工具

交互式應用程序安全測試 （IAST） 工具

軟件組合分析 （SCA） 工具

威脅建模工具

除了運行上面列出的工具外，AppSec 團隊還使用方法，例如：

滲透測試

手動代碼審查

網絡漏洞分析

漏洞賞金

這些工具和審查通常在不同的時間和頻率運行，具體取決于給定項目在軟件開發生命周期 （SDLC） 中的位置。許多 AppSec 工具的配置和運行都很復雜。載入和維護需要時間，我們鼓勵 AppSec 團隊在同一類別中運行多個工具，例如多個 SAST 工具和 DAST 工具。一個軟件開發項目在SDLC的過程中可能需要幾十種工具，每個工具都有自己的用戶界面（更不用說特殊性了）。

通常，相同的工具用于多個項目，需要多個配置。不相互集成的工具會產生不一致的結果，報告格式不同。識別誤報以及關聯結果并確定其優先級可能需要數周（或更長時間）的時間。

此外，許多企業管理多個構建服務器。例如，除了 TeamCity、Azure 和其他服務的多個實例之外，可能還有數百個 Jenkins 服務器。如果沒有編排，就不可能將應用程序安全性烘焙到這些系統中的每一個系統中。

使問題更加復雜的是安全團隊成員與開發人員的比例較低。開發人員的數量超過安全團隊成員的比例為 100：1。當您考慮每個開發人員的工作速度時，安全性沒有太多機會識別和修復所有潛在漏洞。

難怪 AppSec 無法跟上開發團隊的步伐并有效地跟蹤漏洞。

解決方案：使用 ASOC 實現應用安全自動化和編排

組織需要一種方法來集中和協調所有開發管道中的 AppSec 測試，使其成為可擴展、可重復和自動化的流程。這允許安全性以 DevOps 的速度移動并停止阻塞開發管道。

ASOC 是實現自動化和可擴展性的解決方案。由于我們已經在本系列的第一篇文章中詳細介紹了 ASOC，因此我們將只關注實現可擴展性的方面。

配器

業務流程可提高 AppSec 測試的速度，并確保運行所有適當的測試。業務流程可自動執行掃描過程，以確保特定工具始終以特定間隔跨多個生成服務器運行。ASOC 工具分析源代碼以識別使用的語言，然后自動找出要為特定應用程序運行的相應 AppSec 工具。這將創建一個一致且標準化的流程，無論有多少個不同的開發團隊正在處理不同的項目。

工具編排為 AppSec 測試提供了標準化的自動化流程，從而可以更輕松地將新應用程序載入安全管道。它還減少了安裝、配置和更新 AppSec 測試工具所需的時間。換句話說，編排允許 AppSec 團隊根據需要擴展其測試活動。

關聯和重復數據刪除

ASOC 工具自動運行、收集和關聯來自每種 AppSec 工具和測試方法的結果，包括手動審查、漏洞賞金、源代碼分析器、自動和手動滲透測試、軟件組合分析器和網絡漏洞評估器。這減少了 AppSec 團隊需要查看的結果數量。

優先次序

智能自動化允許 AppSec 團隊使用以前的原始結果和修復活動為每個應用程序選擇安全測試工具的最佳組合。可以根據應用程序的關鍵性、法規合規性要求和整體組織功能，針對每個開發管道優化每個 AppSec 工具的規則集。

Code Dx 分類助手是一個 ASOC 工具，可進一步改進自動化過程。機器學習分類器根據先前的決策了解要處理的問題和漏洞。會審助手是專門為每個組織量身定制的，可減少誤報、干擾或安全團隊成員必須分類的不太重要的結果的數量。每自動分類 240 個結果，您的組織就可以節省相當于全職員工一周的時間。

集成和集中管理

ASOC 工具提供與 DevOps 的完全集成，無縫融入持續集成/持續交付 （CI/CD） 管道。與 Jira 等問題跟蹤工具集成后，開發人員可以在其首選的工作環境中進行修復。開發人員可以在他們已經使用的工具和環境中獲得有關安全相關問題的即時反饋。

ASOC 工具可讓您的 AppSec 團隊管理敏感信息（如工具憑據和應用程序登錄）的傳遞。它還監控工具故障，并確保工具正確配置和更新。

ASOC 允許 AppSec 團隊在集中式系統中報告和審核所有三個攻擊面（自定義代碼、第三方組件和網絡）。

DevOps 不會放慢速度，但 ASOC 工具使安全性能夠擴展 AppSec 流程并快速移動，而不會讓問題在未被發現或未解決的情況下溜走。

審核編輯：郭婷