应用程序安全态势管理 (ASPM) 是一种全面的应用程序安全 (AppSec) 方法,它提供单一可信来源,以识别、关联并确定整个软件开发生命周期 (SDLC,从开发到部署) 中的安全漏洞优先级。ASPM 解决方案可关联和分析各种来源的数据,以简化问题解释、分类和补救。这些解决方案还管理和编排各种安全工具,以实施安全策略。借助 ASPM,安全团队可以利用整个软件开发环境中的安全和风险状态综合视图来集中管理应用程序安全问题。
随着应用程序变得越来越复杂,各组织正在努力应对为保护这些应用程序而构建的 AppSec 计划的复杂性和运营成本。这种复杂性使得实施一致的 AppSec 实践、了解应用程序的风险状况以及衡量整个计划的有效性变得困难。ASPM 工具通过为团队提供统一的位置来管理整个 AppSec 计划、更好地协调安全和开发团队,并为他们提供关于已测试内容、已发现内容和正在修复内容的综合视图来解决这些挑战。
有效的 ASPM 解决方案应具有几个关键功能。
与第三方工具集成:为了提供价值,ASPM 解决方案必须能够从包括开发、部署和运营在内的不同来源提取数据。能够在现有开发环境中发挥作用是 ASPM 解决方案提高 AppSec 计划功效的核心所在。这需要解决方案具备与手动和自动化 AppSec 测试工具、开发者工具和问题跟踪系统集成的能力。与映射软件资产、安全数据和工单的关键数据源的连接对于 ASPM 解决方案如何确保异构开发环境中的可见性至关重要。
集中策略:启用可扩展的 AppSec 工作流对于 ASPM 解决方案如何跨团队、项目和工具标准化安全实践至关重要。这需要 ASPM 解决方案集中定义、执行和监控编排测试和优先级的安全策略。此外,将这些安全策略定义为代码,能够使安全和开发团队在 pipeline 中无缝地集成问题评估、控制、补救和验证,并保持持续的合规性。
优先级和分类:AppSec 管理的第一个障碍在于设法整合相关数据点并标准化工作流,但安全团队还必须能够利用这些 ASPM 功能来维持开发人员的生产率。ASPM 解决方案应剔除工具间的重复结果,并根据集中定义的风险标准策略,帮助确定团队应首先解决的问题的优先级。该风险标准可以包括问题严重性、软件关键性以及所定义的补救 SLA。借助这些功能,开发人员可以消除不必要的上报,并专注于最重要的安全工作。
风险管理:ASPM 解决方案必须能够提供整个组织软件中风险状况的总体视图。它应包括对如下各项的详细分类说明:易受攻击的软件组件和应用程序的位置、问题解决的状态以及任何违反策略和合规性的行为。实际上,安全领导者需要能够利用 ASPM 解决方案来审核其应用程序,从软件角度了解其组织风险,并生成有关 AppSec 计划有效性的关键 KPI。
云安全态势管理(CSPM)和ASPM之间的关键区别在于,CSPM涉及映射基于云的服务(如IaaS、SaaS和PaaS)的安全足迹。CSPM解决方案主要用于分析云配置和合规性问题。这提供了用于开发或托管应用程序的生态系统和服务的安全状况的背景,但它没有提供应用程序开发中特定安全问题的完整背景。例如,CSPM解决方案无法显示部署在云中的应用程序是否有易受攻击的组件。这就是ASPM解决方案至关重要的地方。
ASPM解决方案使安全和开发团队能够在SDLC的每个阶段查看安全问题,因为它们汇总了从构建到生产的所有测试的结果。他们还利用这种洞察力来规划组织的软件库存和项目结构。这种粒度级别为理解源代码级别的风险提供了必要的上下文和指导。
Black Duck 软件风险管理是一个全面的 ASPM 解决方案,使团队能够