来自 安全 2021-11-05 14:07 的文章

服务器防护_便宜高防服务器_零元试用

服务器防护_便宜高防服务器_零元试用

应用程序安全专业人员在试图影响开发团队修复关键应用程序漏洞时面临着一场艰难的战斗,这已不是什么秘密。但为什么这是一个看似无法克服的挑战?显然,防御各类cc攻击,急于发布是其中很大一部分,因为它驱使大多数开发团队在安全活动上投入宝贵的时间。但是还有一个因素被忽视了,那就是他们用来发现应用程序漏洞的安全工具。工具的数量、它们在应用程序开发生命周期中通常位于不同的位置,以及由此产生的筒仓,都对保护组织的应用程序提出了独特而困难的挑战。丰富的AppSec工具多年来,应用程序安全(AppSec)专家一直在争论哪些工具最能发现应用程序漏洞。一开始,DAST(动态应用程序安全测试)是AppSec事实上的标准,许多人仍然认为它能够产生最好、最可信的结果,ddos防御整体方案,因为它模仿了实际的攻击者,甚至被许多攻击者自己使用。但DAST的主要问题是它在游戏后期几乎完全被降级到后期制作。对于许多具有前瞻性的开发团队来说,高防cdn的目标客户,这已经被认为太晚了,特别是那些使用DevOps和其他现代开发方法的团队,因为他们试图在开发周期的早期"左移"来检测问题。因此,SAST(static application security testing)应运而生。虽然SAST当然可以在开发周期中更早地实现检测漏洞的目标,但它也受到高比例误报的困扰。根据一些研究表明,开放源码软件在大多数定制应用程序中所占的比例越来越高,达到80%至90%,这一挑战进一步复杂化。因此,SCA(软件组合分析)对于有效地发现开源库中已知的漏洞变得越来越重要。但是SCA只评估开放源代码,并且只与它链接的数据库一样好。当然,大多数AppSec团队也使用渗透测试来在攻击者之前发现并修复应用程序漏洞。虽然笔式测试程序通常会产生有价值的结果,如DAST,但它也会发生在软件开发生命周期的末尾,因此漏洞发现得太晚,无法使团队真正积极主动。如此丰盛的挑战如您所见,在整个应用程序开发生命周期中使用了各种各样的工具。这只是清单的开始。问题是,每个漏洞只提供了AppSec团队所需的一部分上下文,高防cdn不限内容,以了解哪些漏洞构成了最大的风险,从而有效地确定了哪些漏洞应该首先被修复。由于这些工具中的每一个通常由不同的团队使用,因此每个工具所发现的结果是相互独立的。因此,没有人能全面了解情况。这使得几乎不可能收集到影响开发团队以修复企业最关键的应用程序漏洞所需的上下文。但可以说,更大的问题是,这些工具可以找到许多相同的漏洞,但每个工具都会发现漏洞的不同方面,ddos单ip防御力是多少,并以不同的格式报告它们。因此,虽然每个工具都可能找到完全相同的漏洞,但这一事实通常很难破译,因为每种工具使用和显示结果的格式完全不同。当多个团队试图修复相同的漏洞时,这可能导致职责的严重重复。这些工具的评分也可能有所不同,这就造成了关于每个补救措施的优先级的混乱。解决方案:多个工具和一个具有整合视图的平台由于每个工具只提供了做出适当决策所需的一小部分上下文,因此AppSec团队确实需要使用所有这些工具来获得所需的可见性,以便自信地向开发和DevOps团队提供有关补救决策的建议,并最佳地利用这些有限的资源。否则,他们就无法真正了解他们的应用程序漏洞,以确保他们没有不必要地把开发团队从他们的核心责任中拉出来,让他们把功能推出门外。但是,由于有这么多不同的工具,与复制相关的问题与漏洞本身一样严重,因为它们会阻碍开发工作,从而使业务陷于停顿。这就是为什么必须使用基于风险的漏洞管理平台,该平台可以与来自所有连接的应用程序信息源的应用程序安全数据集成,然后对这些发现进行规范化、消除重复和关联,以计算应用程序漏洞的风险并将其显示为简单的风险评分。通过使用一个能够完成所有这些任务的平台,您可以从两个世界中获益匪浅,因为只有使用完整的应用程序安全工具,而规范化和消除来自这些不同来源的数据的能力避免了可能导致多个团队之间职责重复的混乱。这将产生您可以真正支持的数据,从而有效地影响工程优先级,使您能够将有限的开发和开发资源集中在降低最大的应用程序风险上。有关SAST和DAST之间比较的更多信息,请收听我们的网络研讨会"为什么所有这些漏洞都很少重要",或者了解"成功的应用程序安全策略",特别强调SCA。