应用程序安全性在系统开发生命周期(SDLC)中经历了必要的左移,从测试盒向后移动到代码创建中。这一必要的改变已经缓慢推进了好几年,但根据451 Research最近的企业信息安全供应商评估研究,终于通过了一个临界点。188宝金博网址是多少这样做的理由总是很清楚的——修复软件中的安全漏洞在创建后不久就能修复,在成本和工作量上的影响是最低的。否则,它会经过其他人的手,比如测试人员,或者在最坏的情况下,它会在生产中被攻击者利用。
除了信息安全之外,应用安全测试(AST)工具总是属于开发人员。但是,现代应用程序开发的速度,以及大量的构建和发布,以及DevOps工具的扩散和某种程度的标准化,都加剧了这个问题。
除了信息安全之外,应用安全测试(AST)工具总是属于开发人员。但是,现代应用程序开发的速度,以及大量的构建和发布,以及DevOps工具的扩散和某种程度的标准化,都加剧了这个问题。
451拿走
通过Devops Tool Chains和敏捷方法获得的效率,在繁忙的上线规划中压力迭代的迭代已将超热应用开发交付,这意味着更多版本。应用安全计划依赖信息安全团队在释放之前直接测试大量产品,从未特别有效,并且快速变得无法维持。强调开发人员角色的应用程序安全供应商,跟上和集成在代码建设中快速使用和提供正确的指导的方法,同时仍会满足信息安全的审计需求,将在最佳位置利用趋势终于在成果。
映射应用程序安全工具用于SDLC阶段
图1:应用程序安全工具的SDLC阶段使用
资料来源:企业的声音:信息安全,2018年供应商评估
“我们在过去的18个月内购买了大量的许可证,因为在信息安全团队之前正在进行静态代码分析而不是开发人员。所以在过去的18个月里,我们把工具放在了开发人员的手告诉他们自己做。“- 高级管理人员,> 10,000名员工,$ 5- $ 999MN,财务
第一个清除指示器是AST的受访者的百分比,现在在代码创建时,现在在大多数情况下运行大多数情况可能在大多数情况下的可能性。SAST或CODE /二进制扫描,旨在2017年动态应用安全测试(DAST)作为AST最常见的方法。2015年,34%的组织在介绍了新代码后运行了这些工具;2018年,这是49%。运行这些工具的组织的百分比仅在同一时期下降到23%至23%。
在同一时期增长最快的另一种应用程序安全性是软件组合分析(SCA),仅次于DAST和SAST,它是现代应用程序构建中开源流行程度的一个指标。许多以提供健壮的SAST产品而闻名的主要应用程序安全供应商都在其产品中内置了某种形式的SCA。五分之一(20%)使用了AST的受访者还指出使用了交互AST或IAST和/或运行时应用程序自我保护(RASP),这两种方法都着眼于应用程序运行时发生的数据流和事务。在last的情况下,这允许典型的DAST测试可能产生的数据收集类型,在某些场景中还可以产生更多,但以一种自动化的方式通过代理在后台持续运行。类似地,RASP在上下文中查看应用程序的数据流,但可以根据所看到的情况采取预防措施来阻止攻击。
“我们在过去的18个月内购买了大量的许可证,因为在信息安全团队之前正在进行静态代码分析而不是开发人员。所以在过去的18个月里,我们把工具放在了开发人员的手告诉他们自己做。“- 高级管理人员,> 10,000名员工,$ 5- $ 999MN,财务
第一个清除指示器是AST的受访者的百分比,现在在代码创建时,现在在大多数情况下运行大多数情况可能在大多数情况下的可能性。SAST或CODE /二进制扫描,旨在2017年动态应用安全测试(DAST)作为AST最常见的方法。2015年,34%的组织在介绍了新代码后运行了这些工具;2018年,这是49%。运行这些工具的组织的百分比仅在同一时期下降到23%至23%。
在同一时期增长最快的另一种应用程序安全性是软件组合分析(SCA),仅次于DAST和SAST,它是现代应用程序构建中开源流行程度的一个指标。许多以提供健壮的SAST产品而闻名的主要应用程序安全供应商都在其产品中内置了某种形式的SCA。五分之一(20%)使用了AST的受访者还指出使用了交互AST或IAST和/或运行时应用程序自我保护(RASP),这两种方法都着眼于应用程序运行时发生的数据流和事务。在last的情况下,这允许典型的DAST测试可能产生的数据收集类型,在某些场景中还可以产生更多,但以一种自动化的方式通过代理在后台持续运行。类似地,RASP在上下文中查看应用程序的数据流,但可以根据所看到的情况采取预防措施来阻止攻击。
将应用程序安全工具的使用映射到团队
图2:应用程序安全工具的团队分配使用
资料来源:企业的声音:信息安全,2018年供应商评估
“…你可以提交代码片段,他们可以提出修改代码的建议来帮助你,这是一个很大的好处,因为否则我会有开发人员来找我,我会说,‘嘿,你有缓冲区溢出的问题。’他们会说,‘好吧,我只是增加了缓冲区的大小。’哦,天哪,不。这不是解决问题的方法…这是一个古老的问题,但是……当你可以这样说:“哦,是的,如果你只是用代码来做这件事,”或者“这有一个库可以帮助你解决这个问题”时,就不会那么痛苦了,因为应用程序安全工具最大的障碍是开发时间的延长。因为如果你打乱了开发者的发行周期,他们就会失去理智。”——中层管理人员,1000 - 9999名员工,1 - 9999万美元,信息
第二个指标是AST的团队用法。在调查中,受访者被要求分配四个团队的100个使用点:应用程序开发,质量保证,信息安全和“其他”类别,以捕获在这三个角色之外的使用。虽然信息安全仍然是42%的最大用户,但2015年的57%下降。同时,作为用户的应用程序开发从23%到31%。
“…你可以提交代码片段,他们可以提出修改代码的建议来帮助你,这是一个很大的好处,因为否则我会有开发人员来找我,我会说,‘嘿,你有缓冲区溢出的问题。’他们会说,‘好吧,我只是增加了缓冲区的大小。’哦,天哪,不。这不是解决问题的方法…这是一个古老的问题,但是……当你可以这样说:“哦,是的,如果你只是用代码来做这件事,”或者“这有一个库可以帮助你解决这个问题”时,就不会那么痛苦了,因为应用程序安全工具最大的障碍是开发时间的延长。因为如果你打乱了开发者的发行周期,他们就会失去理智。”——中层管理人员,1000 - 9999名员工,1 - 9999万美元,信息
第二个指标是AST的团队用法。在调查中,受访者被要求分配四个团队的100个使用点:应用程序开发,质量保证,信息安全和“其他”类别,以捕获在这三个角色之外的使用。虽然信息安全仍然是42%的最大用户,但2015年的57%下降。同时,作为用户的应用程序开发从23%到31%。
影响
对应用程序安全供应商和企业安全的影响是多方面的;第一个最明显的问题是日益复杂的销售周期和评估过程。大型组织中的信息安全团队仍然有最大的动机在应用程序安全上花费资源,并保留这些工具的最大用户的角色,尽管这方面的趋势是明确的。而不是尝试运行扫描并开始就代码向开发人员提供建议,这是一个困难的提议,即使信息安全团队拥有编码专业知识(他们并不总是拥有),而且这可能会不幸地导致转储通用漏洞报告,安全团队应该扮演应用程序和过程审核员的理想角色:发现代码构建过程之外的问题,并全面监控漏洞识别和补救的有效性。这意味着两个团队在评估服务产品时要结合起来。
另一种含义是推动这些工具中的集成开发人员教育,解决了许多学院或大学计算机科学计划的安全编码指导缺陷。AST供应商的关键是紧密的集成,提供个人发展机会在安全编码中,简短,易消化,在对漏洞中的漏洞中的内容突发中,AST工具是识别的。
最后,集成到Devops工具中,包括构建工具,票务系统,协作或通知工具,以及越来越常见的,以避免开发人员在其注意中标记出问题时,将任何上下文切换。虽然独立测试具有其位置,但只有通过在临时基础上测试的开发过程中的测试,才能实现全面的应用安全覆盖。
另一种含义是推动这些工具中的集成开发人员教育,解决了许多学院或大学计算机科学计划的安全编码指导缺陷。AST供应商的关键是紧密的集成,提供个人发展机会在安全编码中,简短,易消化,在对漏洞中的漏洞中的内容突发中,AST工具是识别的。
最后,集成到Devops工具中,包括构建工具,票务系统,协作或通知工具,以及越来越常见的,以避免开发人员在其注意中标记出问题时,将任何上下文切换。虽然独立测试具有其位置,但只有通过在临时基础上测试的开发过程中的测试,才能实现全面的应用安全覆盖。
丹尼尔•肯尼迪
研究主任,企业之声:信息安全
作为451研究的信息安全的研究主任(投票)定量研究产品的信息安全,丹负责管理研究过程的所有阶段。188宝金博网址是多少他是一位经验丰富的信息安全专业人员,他们为福布斯(Ziff Davis)编写,为纽约时报和华尔街日报等众多新闻网点提供了评论,他的个人博客Praetorian州被认为是前五名之一RSA 2010会议的信息安全技术博客。
斯科特克劳福德
安全研究主任
斯科特·克劳福德(Scott Crawford)是451 Research的信息安全通道研究总监,他在那里领导信息安全市场的新兴趋势、创新和颠覆。188宝金博网址是多少
基思·道森
主要分析师
Keith Dawson是451次研究客户体验与商业实践的主要分析师,主要涵盖188宝金博网址是多少营销技术。Keith一直覆盖了25年的通信和企业软件,主要是如何影响如何影响和优化客户体验。