据 SAP 称,当今85%的安全攻击针对的是软件应用程序,因此一些列应用程序安全测试工具也应运而生。为了避免这些恶意攻击,企业通常使用应用程序安全测试工具来去缓解和解决安全风险,而不同的工具对应的使用方法和覆盖范围各不相同。本期文章,我们将会讨论 SAST 和 SCA 这两种类型的应用程序安全解决方案如何帮助企业应对不同的风险。

软件世界的风险与挑战

在这个依靠软件运行的世界中,企业面临一个挑战:开发好的软件很难。随着软件变得越来越复杂,确保其可靠性和安全性变得更加困难 。无论是购买的软件、专有软件还是作为服务交付的软件,都无法避免漏洞问题,而开源软件更是如此。但开源的优势相较于传统开发模式更加突出,即更快的上市时间、更多的创新机会、更低的开发成本以及与全球开发人员社区更密切的联系。然而企业有时会忽略与开源使用相关的安全和风险管理挑战。

专有代码中的问题

在开发过程中,开发人员难免会将一些安全问题(例如OWASP Top 10 和 2019 CWE Top 25中列出的问题)误引入专有代码中。最著名的安全问题包括 SQL 注入、破坏的身份验证和会话管理以及跨站点脚本。而静态应用程序安全测试 (SAST) 可以在开发人员编写代码时,或在提交、构建或测试阶段,通过检查代码本身来检测常见类型的问题。

开源组件中的漏洞

开源漏洞,例如美国国家漏洞数据库(NVD) 中列出的漏洞,是通过在代码库中使用开源组件引入的。其实开源软件并意味着不比商业软件更安全或更不安全,只是缺乏对其使用的开源可见性的企业无法有效缓解和修复开源漏洞。同时开源漏洞的数量正在增长,NVD 仅在 2018 年就报告了超过 16,000 个新的开源漏洞。软件成分分析(SCA) 侧重于识别代码库中的开源成分,以便开发团队可以更好地缓解管理他们面临的安全和许可合规风险和问题。

与攻击者的较量

企业通常会采用数种方式来缓解和解决漏洞风险和问题,但如何更高效地管理漏洞是企业都十分关注的地方。虽然修复漏洞可能仅仅需要花费几天或几分钟的时间,但企业往往需要花费数月时间来发现可被利用的漏洞。

此外,开源漏洞还会带来额外的安全风险。因为开源在任何地方都可以访问和使用,恶意攻击者则会利用这一点,来访问有关已知开源漏洞的公开信息以及有关如何利用漏洞的详细信息。比如,当漏洞被报告出来时,开源社区通常也会相应发布该漏洞的利用方式说明。因此,开源的存在虽然让软件开发变得更加便捷高效,但同时也给恶意攻击者提供了同样信息源和便利。

SAST vs SCA: 差异一览

应用程序安全挑战多种多样,那么解决这些挑战的最佳方法是什么?解决软件漏洞的有效方法当然包括安全测试工具,使用 SAST 来发现专有代码中的问题,以及使用 SCA 来发现开源代码中的漏洞。

同时包含 SAST 和 SCA 的软件安全程序会更加全面,而企业也会获得以下的效果:

  • 通过早期识别和选择安全组件提高了产品质量

  • 跨专有代码和开源组件的更高的安全风险可见性

  • 降低在开发过程早期发现和修复的漏洞的补救成本

  • 针对已知开源漏洞的攻击将安全漏洞风险降至最低

  • 优化的安全测试,有效与敏捷开发工具和实践兼容

让我们分别来看看这两个安全测试工具的特点及其优势。

静态应用安全测试 SAST

SAST 通过检查应用程序的源代码来查明可能的安全问题,有时称为白盒测试(因为源代码可用且透明)。SAST 在软件开发生命周期(SDLC)的早期发挥了巨大的作用,而在软件开发早期修复问题相对容易且成本更低。SAST 可以有效地发现上文提到的许多常见安全问题,例如跨站点脚本、SQL 注入和缓冲区溢出。

SAST 优势

  • 查明专有代码中的缺陷和问题

  • 在 SDLC 早期发现问题,此时修复成本远比在软件开发中后期要低得多!

  • 在代码投入生产之前检测问题(也就是在这些问题成为漏洞之前解决掉!)

软件成分分析 SCA

SCA 识别代码库中的所有开源并将该清单映射在当前已知漏洞的列表。入门级解决方案只是收集有关已声明的开源(例如库)的信息并将其与 NVD 进行比较,而更高级的解决方案则会使用复杂的源代码和二进制文件扫描,来确保其更全面地识别所有开源代码,包括从已知来源复制的代码片段。除此之外,还使用其他漏洞信息来扩充 NVD 数据,以提供更完整、更及时的报告。先进的 SCA 解决方案会针对应用程序部署后报告的漏洞提供持续监控和警报。

SCA 优势

  • 可靠地检测和映射其他方法无法发现的已知开源漏洞

  • 提供对正在使用的开源代码的完整说明

  • 持续监控发现的新漏洞

总 结

应用程序安全这个领域正在迅速地发展,而这在很大程度上要归功于开源代码的广泛运用。开源凭借其明显的优势,逐渐成为现代应用程序开发的基础。但是仅包含 SAST,且只关注专有代码的应用程序安全测试方法可能会留下重大的漏洞识别和管理漏洞。在这个时候,SCA 对剩余的部分做了很好的补充。SCA 提供了开源软件的自动识别和清单,将组件映射到已知漏洞,并简化和保护CI/CD活动。因此,合理地结合使用 SAST 和 SCA ,能够对整个应用程序环境的安全性进行全面且深入的评估。

SAST + SCA: 结合使用安全升级的更多相关文章

  1. WEBLOGIC 11G (10.3.6) windows PSU 升级10.3.6.0.171017(Java 反序列化漏洞升级)

    10.3.6版本的weblogic需要补丁到10.3.6.0.171017(2017年10月份的补丁,Java 反序列化漏洞升级),oracle官方建议至少打上2017年10月份补丁. 一.查看版本 ...

  2. weblogic安装升级配置

    本次操作是主要围绕如何搭建weblogic服务器升级weblogic软件及配置服务,总共有三大步骤,可划分为六个小步骤: 选取已有环境,准备weblogic压缩包,java包等 准备操作系统环境用户目 ...

  3. 应用安全测试技术DAST、SAST、IAST对比分析【转】

    转自:https://blog.csdn.net/qq_29277155/article/details/92411079 一.全球面临软件安全危机 2010年,大型社交网站rockyou.com被曝 ...

  4. weblogic补丁升级详细步骤,18.7.17补丁更新

    weblogic打补丁 到weblogic官网下载补丁包 对应的补丁包  如: p22248372_1036012_Generic.zip 一  安装补丁步骤 1.登录linux的weblogic用户 ...

  5. 软件成分分析(SCA)完全指南

    上一篇文章中,我们讨论了 DAST 的概念.重要性及其工作原理.那在开发过程中如何查找开源软件包中的漏洞并学习如何修复?本指南带你一起了解 SCA 工具及其最佳实践. 如今,绝大多数代码驱动的应用程序 ...

  6. Linux平台 Oracle 10gR2(10.2.0.5)RAC安装 Part3:db安装和升级

    Linux平台 Oracle 10gR2(10.2.0.5)RAC安装 Part3:db安装和升级 环境:OEL 5.7 + Oracle 10.2.0.5 RAC 5.安装Database软件 5. ...

  7. 看完SQL Server 2014 Q/A答疑集锦:想不升级都难!

    看完SQL Server 2014 Q/A答疑集锦:想不升级都难! 转载自:http://mp.weixin.qq.com/s/5rZCgnMKmJqeC7hbe4CZ_g 本期嘉宾为微软技术中心技术 ...

  8. Entity Framework Core 1.1 升级通告

    原文地址:https://blogs.msdn.microsoft.com/dotnet/2016/11/16/announcing-entity-framework-core-1-1/ 翻译:杨晓东 ...

  9. ASP.NET 5 RC1 升级 ASP.NET Core 1.0 RC2 记录

    升级文档: Migrating from DNX to .NET Core Migrating from ASP.NET 5 RC1 to ASP.NET Core 1.0 RC2 Migrating ...

  10. SQL Server2016升级前几点自检

    SQL Server2016已经出来一段时间了,而且最新的SP1包也于2016年11月18日正式发布,各种新的特性推出让我们跃跃欲试.那么对于我们真实的业务环境,特别是生产环境要不要"跟风& ...

随机推荐

  1. 基于iptables防火墙堵漏

    之前在网上流传个段子:发现自己电脑被入侵,最有效的办法是即拔掉网线~ 虽然只是个段子却说明一旦机器发现漏洞被入侵,阻断入侵刻不容缓,无论对个人电脑和业务服务器都是如此. 商业服务器虽然有各种防护措施, ...

  2. SNN_文献阅读_Recent Advances and New Frontiers in Spiking Neural Networks

    Recent Advances and New Frontiers in Spiking Neural Networks 基本要素:包括神经元模型.神经元中脉冲序列的编码方法.神经网络中每个基本层的拓 ...

  3. easy_enc

    寻找main函数,步过好像没有main函数,这时候想要F5就只能找到对的函数了 F5以后发现进行的操作有很多,这里发现有几个都没用的 后面发现主要是对V5有操作,所以直接看有关于V5的操作函数 经过上 ...

  4. Codeforces Round #696 (Div. 2) (A~C题解)

    写在前边 链接:Codeforces Round #696 (Div. 2) A. Puzzle From the Future 链接:A题链接 题目大意: 给定一个\(a\),\(b\),\(d = ...

  5. 一个基于ASP.NET Core完全开源的CMS 解决方案

    本文简介 MixCoreCMS是一个基于.NET Core框架的开源内容管理系统(CMS),提供了丰富的的基础功能和插件,是一款面向未来的企业 Web CMS,可轻松构建任何类型的应用程序.集成了Go ...

  6. SQLBI_精通DAX课程笔记_02_数据类型

    SQLBI_精通DAX课程笔记_02_数据类型 PowerBi 和 Analysis Services 在数据加载环节,无论数据源是什么类型,都会自动将数据转化为DAX可用的数据类型集. 以下链接为微 ...

  7. MySQL大表设计怎么做?

    MySQL是一种常用的关系型数据库管理系统,它在处理大表时需要特别注意设计和优化.下面将详细介绍MySQL大表的设计原则和优化策略. 1. 数据库设计 数据库范式化:将数据按照规范的关系模型进行拆分和 ...

  8. 两道题浅析PHP反序列化逃逸

    两道题浅析PHP反序列化逃逸 一.介绍 反序列化逃逸的出现是因为php反序列化函数在进行反序列化操作时,并不会审核字符串中的内容,所以我们可以操纵属性值,使得反序列化提前结束. 反序列化逃逸题一般都是 ...

  9. 芯片SDC约束 -复制保存

    https://www.cnblogs.com/pcc-uvm/p/16996456.html?share_token=9651df97-e94c-4653-bf71-0a0fd6ca415e& ...

  10. [CF1854E] Game Bundles

    题目描述 Rishi is developing games in the 2D metaverse and wants to offer game bundles to his customers. ...