定义

应用程序漏洞关联 (AVC) 是 AppSec 领域内一个日益增长的趋势,它能极大地帮助组织过渡到 DevSecOps 模型。AVC 是指提供工作流和流程管理能力的工具,这些能力有助于加快软件开发生命周期 (SDLC) 中的漏洞修复。AVC 解决方案能够将 AST 结果标准化,采用通用的专用术语,将大量来自不同安全测试工具和数据源的结果关联且保存到中央存储库中,过滤掉重复结果,并评估漏洞的可利用率和严重性,这些可使安全活动的修复补救和优先级排序更有效。这可优化分类流程,并通过在工具、功能和补救利益相关者之间自动化执行流程,大大减少安全团队和开发团队之间的冲突摩擦。

简介

希望在敏捷工作流程中确保软件质量,这一愿望推动了安全团队和开发团队日益向这样一种趋势发展:在 DevOps 速度下运行应用安全程序。但是,由于以下几个原因,这可能很难实现:

  • 信息收集、整理和分析存在重大问题。这一过程十分复杂,涉及运行 AST 工具、使用来自不同来源和格式的结果、执行人工代码检查,然后仔细分析哪些结果需要首先修复。
  • 安全团队难以分配足够多的资源来分类划分现有漏洞。这是因为手动收集相关数据和业务背景以评估单个结果的优先级,会耗费大量时间。

需要采用更为简单的方法来使用大量不断增长的 AST 安全结果并确定其中关键的工作,这一趋势正变得日益明显。在 2020 年 11 月对应用程序测试服务中的智能自动化进行的一项 Gartner 研究中,高级安全测试的成功用例包括能够使用测试结果并将其与相关业务指标关联起来,并从该分析中找出易受攻击的软件。这些能力对于确保更好的弹性、成本优化和产品质量至关重要。帮助组织有效地实现这一结果,其中有许多方面都依赖于拥有良好的 AVC 解决方案。


传统的应用程序漏洞管理是什么样的?

组织投资各种 AppSec 工具。常见的 AST 工具包括动态应用安全测试 (DAST)、静态应用安全测试 (SAST)、软件组件分析 (SCA) 和开源工具。每个工具搜索特定类型的软件缺陷、可利用性和问题来源,并在 SDLC 的不同阶段进行部署。SAST 和 SCA 通常用于构建/开发阶段,而 DAST 用于生产环境模拟期间在模拟的生产条件下发现问题。此外,在每种 AST 工具类别中,所支持的应用程序类型、检测能力以及编程语言可能因厂商而异。拥有全面的 appsec 方案可以转化为投资 AST 类别内的多个工具,并在 SDLC 的各个阶段实施适当的 AST 工具

传统的 AppSec 工具通常无法满足敏捷 DevOps 环境的需求,因为孤立工具中的数据过多导致难以获得清晰、可行的见解。对待处理的应用程序漏洞进行整理,这使安全成为负责修复漏洞的开发团队面临的一个瓶颈。人工筛选 AppSec 噪声(包括误报和不同工具中的冗余发现)会降低开发速度和组织现有 AppSec 投资的有效性。

 


应用程序漏洞关联解决了哪些问题?

在分析 AppSec 数据时,安全团队必须从源自 SAST、DAST、SCA 和开源/第三方工具的不同的、分散的结果中整理出大量相关信息。这通常会增加分类过程的冗余性、复杂性和大量的时间延迟,因为分析师没有集中的存储库,其可用于检查类似缺陷之间的趋势,或筛选出不同工具之间的重复结果。AVC 解决的关键问题是 AppSec 测试工具生成的海量数据带来的挑战。借助其关联能力,AVC 工具可整合所有测试工具的结果,并可自动删除任何重复结果。

简而言之,AVC 可简化整个 SDLC 的 AST 结果,从而提高 DevSecOps 计划的有效性和效率。重要的是,出色的 AVC 解决方案还有助于增强您的整体软件风险管理,提高您的软件质量和开发实践。Synopsys 的 AVC 工具 Code Dx® 将来自不同类型的分析工具的结果关联起来,并优先处理最有可能被首先利用的安全问题。


应用程序漏洞关联如何运作?

AVC 工具提供一组关联的测试结果,且具有去重和标准化能力,可提供明确的风险定义和级别。在收集并关联这些结果后,出色的 AVC 工具随后会使用您自己的漏洞策略,来帮助确定这些漏洞的修复补救进行优先级排序和管理。它还让您能够将这些结果整合到已有的应用安全工具中

基本上来说,AVC 工具会收集测试结果和策略中的所有现有数据,并提供清晰、简洁的单一可信来源,可以据此采取战略性的优先重要的活动。


应用程序漏洞关联提供哪些关键功能?

AVC 工具可为您依赖的 AppSec 工具生成的不断增加的数据提供统一的视角。AVC 工具将 AppSec 工具的漏洞结果相关联,因此您可以准确了解应用程序中的漏洞。

这种简化的视图让您能够不再浪费宝贵的时间来管理工具,并精力集中在实际地修复应用程序中的漏洞。通过简化漏洞识别和修复,AVC 工具使您能够在漏洞被利用之前对其进行修复,从而降低总体风险水平。


优秀的 AVC 工具有哪些主要特征?

支持不同的 AST 工具:

  • 您的 AVC 工具是否无关? 它能支持多少种不同的 AST 产品? 是否需要运行时代理来关联这些结果? 通常,依赖于运行时代理的 AVC 可能特定于供应商,从而限制了可支持的集成的数量。这些代理还可能增加 SDLC 的延迟。Code Dx 提供无代理关联引擎,支持与当今最流行的一些开发人员工具进行超过 90 个集成。

AppSec 可见性和效率:

  • 您的 AVC 解决方案是否能够过滤到唯一结果,并展示已有 AST 工具的有效性? 它可以以避免 CI/CD 管道堵塞的方式这样做吗?

风险和策略管理:

  • 您能否根据软件风险对 AST 结果进行上下文分析? 您能否识别您最脆弱的软件并将这些数据链接到扫描策略? 这对从您的 AVC 解决方案中获取价值至关重要。在 AVC 内对结果进行优先级排序,并能够智能地执行进一步 AppSec 测试,极大地优化了开发人员在修复和补救方面花费的时间。Code Dx 和 Intelligent Orchestration 相互配合,全面应对策略管理、测试执行和软件风险。通过 Intelligent Orchestration,安全分析师能够通过实施“扫描策略即代码”来加快检测速度,然后将结果汇入 Code Dx。在 Code Dx 中,分析师能够编写可显示所给定结果的风险评分与相关合规标准的报告及仪表板。这让开发人员能够仅在需要时进行测试、标准化安全流程,并识别最脆弱的软件。