定义

应用程序安全编排和关联 (ASOC) 是应用程序安全 (AppSec) 解决方案的一种类别,通过工作流自动化来简化漏洞测试和修复工作。ASOC 解决方案从各种 AppSec 来源(如 SAST、DAST 和 IAST 工具)收集数据,并将这些数据整合到单个数据库中。然后,ASOC 解决方案将这些结果关联起来,对关键修复工作进行优先排序。安全团队利用最终结果,能够以明智、高效的方式简化其 AppSec 活动。

ASOC 的优点是什么?

从更高层面上讲,ASOC 最具影响力的优势在于其能够提高 DevSecOps 的效率。敏捷开发需要更快的速度和更多的工具,如何对资源和修复活动进行高效管理给安全团队带来了巨大的挑战。ASOC 在帮助应对这些挑战方面发挥着关键作用。

更具体而言,ASOC 通过多种方式让安全工作获得改善:

  • 改进资源分配:将 ASOC 引入开发环境可提供关键修复优先级信息,而不会影响现有实践活动。AppSec 工具揭示了大量漏洞,其中一些漏洞可能是误报,并不需要代码修复。这会导致识别出来的问题过多,需要进行评估来确定这些问题是否确实需要注意。ASOC 解决方案可提供关键结果优先级信息,从而节约资源和成本。
  • 集中式漏洞管理:尽管开发环境中使用的每个 AppSec 工具在保护组织应用程序方面发挥着重要作用,但它们均以不同的格式提供结果展示。此外,多个工具发现的可能是同一个问题。消除所有 AppSec 工具获得的结果是十分耗时的,而且会导致开发速度放缓。借助 ASOC 解决方案,将来自多个 AppSec 工具和手动测试的分析结果进行汇总,对不同工具识别的相同问题进行去重,并在一个中枢平台中自动关联和优先处理所有剩余结果。
  • 更好地了解风险:ASOC 解决方案使 CISO 和开发能够快速识别应用程序组合中风险最高的项目。它还提供指标数据,显示团队在一段时间内执行漏洞管理和 AppSec 活动的表现。使用这些指标,团队能够了解他们在保护应用程序方面的表现如何,并相应地进行调整。
  • 连续和自动扫描:不同于手动扫描应用程序,ASOC 解决方案可安排组织使用的所有安全工具进行自动扫描。工具的频率和具体操作都可以在 ASOC 解决方案中进行定义和设置。这样就无需进行逐个或单个的扫描活动。
  • 自动化 AppSec 流程:ASOC 解决方案可实现自动化,轻松地设置跨团队的工作流。安全工程师和开发人员会在某些事情超出他们商定的流程范围时自动得到通知,而非依赖于他们之间的沟通。

ASOC 如何弥合 AppSec 和 CI/CD 之间的差距?

一个常见的 AppSec 问题是漏洞管理和持续集成/持续开发 (CI/CD) 管道相分离。ASOC 解决方案能够将多个来源的集成测试结果整合到一个工具中,将结果关联起来,并优先处理高风险漏洞,从而帮助弥合这一差距。这让开发人员能够在不降低开发速度的情况下,在 CI/CD 管道内协调安全。


ASOC 对 AppSec 的未来意味着什么?

随着对安全团队的要求不断增长,在帮助减轻安全团队和开发团队所承受的漏洞过载方面,ASOC 无疑将发挥越来越关键的作用。在现有管道中提供连续和自动化扫描,ASOC 解决方案提供单一来源,以便安排公司所使用的所有工具的自动化扫描。与 AppSec 的未来前景息息相关的可能是公司转而采用 ASOC 作为其唯一可信源,并利用它来有效且高效地管理 AppSec 产品组合。


Synopsys 如何提供帮助?

Synopsys 软件风险管理平台是一个全面的 ASOC 解决方案,使团队能够

  • 通过定义和执行那些能指定测试执行和漏洞管理参数的安全策略,大规模实施策略驱动型 AppSec
  • 统一不同应用程序安全测试工具的用户体验,以简化您的资源配置和运营,同时改善团队间的工具整合
  • 跨项目、团队和工具整合漏洞报告和管理,以提供标准化、去重的高优先级安全风险的完整视图
  • 简化开发工作流程中的 AppSec 集成和编排,将安全工作流程集成到现有的开发者工具链中,并快速载入现有项目和构建
  • 通过单一的统一解决方案优化核心应用程序安全测试,以高效地部署、管理和报告核心测试功能

了解更多关于软件风险管理平台如何简化您的安全活动并确定测试结果的优先级