据 SAP 称,当今85%的安全攻击针对的是软件应用程序,因此一些列应用程序安全测试工具也应运而生。为了避免这些恶意攻击,企业通常使用应用程序安全测试工具来去缓解和解决安全风险,而不同的工具对应的使用方法和覆盖范围各不相同。本期文章,我们将会讨论 SAST 和 SCA 这两种类型的应用程序安全解决方案如何帮助企业应对不同的风险。

软件世界的风险与挑战

在这个依靠软件运行的世界中,企业面临一个挑战:开发好的软件很难。随着软件变得越来越复杂,确保其可靠性和安全性变得更加困难 。无论是购买的软件、专有软件还是作为服务交付的软件,都无法避免漏洞问题,而开源软件更是如此。但开源的优势相较于传统开发模式更加突出,即更快的上市时间、更多的创新机会、更低的开发成本以及与全球开发人员社区更密切的联系。然而企业有时会忽略与开源使用相关的安全和风险管理挑战。

专有代码中的问题

在开发过程中,开发人员难免会将一些安全问题(例如OWASP Top 10 和 2019 CWE Top 25中列出的问题)误引入专有代码中。最著名的安全问题包括 SQL 注入、破坏的身份验证和会话管理以及跨站点脚本。而静态应用程序安全测试 (SAST) 可以在开发人员编写代码时,或在提交、构建或测试阶段,通过检查代码本身来检测常见类型的问题。

开源组件中的漏洞

开源漏洞,例如美国国家漏洞数据库(NVD) 中列出的漏洞,是通过在代码库中使用开源组件引入的。其实开源软件并意味着不比商业软件更安全或更不安全,只是缺乏对其使用的开源可见性的企业无法有效缓解和修复开源漏洞。同时开源漏洞的数量正在增长,NVD 仅在 2018 年就报告了超过 16,000 个新的开源漏洞。软件成分分析(SCA) 侧重于识别代码库中的开源成分,以便开发团队可以更好地缓解管理他们面临的安全和许可合规风险和问题。

与攻击者的较量

企业通常会采用数种方式来缓解和解决漏洞风险和问题,但如何更高效地管理漏洞是企业都十分关注的地方。虽然修复漏洞可能仅仅需要花费几天或几分钟的时间,但企业往往需要花费数月时间来发现可被利用的漏洞。

此外,开源漏洞还会带来额外的安全风险。因为开源在任何地方都可以访问和使用,恶意攻击者则会利用这一点,来访问有关已知开源漏洞的公开信息以及有关如何利用漏洞的详细信息。比如,当漏洞被报告出来时,开源社区通常也会相应发布该漏洞的利用方式说明。因此,开源的存在虽然让软件开发变得更加便捷高效,但同时也给恶意攻击者提供了同样信息源和便利。

SAST vs SCA: 差异一览

应用程序安全挑战多种多样,那么解决这些挑战的最佳方法是什么?解决软件漏洞的有效方法当然包括安全测试工具,使用 SAST 来发现专有代码中的问题,以及使用 SCA 来发现开源代码中的漏洞。

同时包含 SAST 和 SCA 的软件安全程序会更加全面,而企业也会获得以下的效果:

  • 通过早期识别和选择安全组件提高了产品质量

  • 跨专有代码和开源组件的更高的安全风险可见性

  • 降低在开发过程早期发现和修复的漏洞的补救成本

  • 针对已知开源漏洞的攻击将安全漏洞风险降至最低

  • 优化的安全测试,有效与敏捷开发工具和实践兼容

让我们分别来看看这两个安全测试工具的特点及其优势。

静态应用安全测试 SAST

SAST 通过检查应用程序的源代码来查明可能的安全问题,有时称为白盒测试(因为源代码可用且透明)。SAST 在软件开发生命周期(SDLC)的早期发挥了巨大的作用,而在软件开发早期修复问题相对容易且成本更低。SAST 可以有效地发现上文提到的许多常见安全问题,例如跨站点脚本、SQL 注入和缓冲区溢出。

SAST 优势

  • 查明专有代码中的缺陷和问题

  • 在 SDLC 早期发现问题,此时修复成本远比在软件开发中后期要低得多!

  • 在代码投入生产之前检测问题(也就是在这些问题成为漏洞之前解决掉!)

软件成分分析 SCA

SCA 识别代码库中的所有开源并将该清单映射在当前已知漏洞的列表。入门级解决方案只是收集有关已声明的开源(例如库)的信息并将其与 NVD 进行比较,而更高级的解决方案则会使用复杂的源代码和二进制文件扫描,来确保其更全面地识别所有开源代码,包括从已知来源复制的代码片段。除此之外,还使用其他漏洞信息来扩充 NVD 数据,以提供更完整、更及时的报告。先进的 SCA 解决方案会针对应用程序部署后报告的漏洞提供持续监控和警报。

SCA 优势

  • 可靠地检测和映射其他方法无法发现的已知开源漏洞

  • 提供对正在使用的开源代码的完整说明

  • 持续监控发现的新漏洞

总 结

应用程序安全这个领域正在迅速地发展,而这在很大程度上要归功于开源代码的广泛运用。开源凭借其明显的优势,逐渐成为现代应用程序开发的基础。但是仅包含 SAST,且只关注专有代码的应用程序安全测试方法可能会留下重大的漏洞识别和管理漏洞。在这个时候,SCA 对剩余的部分做了很好的补充。SCA 提供了开源软件的自动识别和清单,将组件映射到已知漏洞,并简化和保护CI/CD活动。因此,合理地结合使用 SAST 和 SCA ,能够对整个应用程序环境的安全性进行全面且深入的评估。

SAST + SCA: 结合使用安全升级的更多相关文章

  1. WEBLOGIC 11G (10.3.6) windows PSU 升级10.3.6.0.171017(Java 反序列化漏洞升级)

    10.3.6版本的weblogic需要补丁到10.3.6.0.171017(2017年10月份的补丁,Java 反序列化漏洞升级),oracle官方建议至少打上2017年10月份补丁. 一.查看版本 ...

  2. weblogic安装升级配置

    本次操作是主要围绕如何搭建weblogic服务器升级weblogic软件及配置服务,总共有三大步骤,可划分为六个小步骤: 选取已有环境,准备weblogic压缩包,java包等 准备操作系统环境用户目 ...

  3. 应用安全测试技术DAST、SAST、IAST对比分析【转】

    转自:https://blog.csdn.net/qq_29277155/article/details/92411079 一.全球面临软件安全危机 2010年,大型社交网站rockyou.com被曝 ...

  4. weblogic补丁升级详细步骤,18.7.17补丁更新

    weblogic打补丁 到weblogic官网下载补丁包 对应的补丁包  如: p22248372_1036012_Generic.zip 一  安装补丁步骤 1.登录linux的weblogic用户 ...

  5. 软件成分分析(SCA)完全指南

    上一篇文章中,我们讨论了 DAST 的概念.重要性及其工作原理.那在开发过程中如何查找开源软件包中的漏洞并学习如何修复?本指南带你一起了解 SCA 工具及其最佳实践. 如今,绝大多数代码驱动的应用程序 ...

  6. Linux平台 Oracle 10gR2(10.2.0.5)RAC安装 Part3:db安装和升级

    Linux平台 Oracle 10gR2(10.2.0.5)RAC安装 Part3:db安装和升级 环境:OEL 5.7 + Oracle 10.2.0.5 RAC 5.安装Database软件 5. ...

  7. 看完SQL Server 2014 Q/A答疑集锦:想不升级都难!

    看完SQL Server 2014 Q/A答疑集锦:想不升级都难! 转载自:http://mp.weixin.qq.com/s/5rZCgnMKmJqeC7hbe4CZ_g 本期嘉宾为微软技术中心技术 ...

  8. Entity Framework Core 1.1 升级通告

    原文地址:https://blogs.msdn.microsoft.com/dotnet/2016/11/16/announcing-entity-framework-core-1-1/ 翻译:杨晓东 ...

  9. ASP.NET 5 RC1 升级 ASP.NET Core 1.0 RC2 记录

    升级文档: Migrating from DNX to .NET Core Migrating from ASP.NET 5 RC1 to ASP.NET Core 1.0 RC2 Migrating ...

  10. SQL Server2016升级前几点自检

    SQL Server2016已经出来一段时间了,而且最新的SP1包也于2016年11月18日正式发布,各种新的特性推出让我们跃跃欲试.那么对于我们真实的业务环境,特别是生产环境要不要"跟风& ...

随机推荐

  1. 二进制枚举&爆搜DFS

    给定一个如下图所示的全圆量角器. 初始时,量角器上的指针指向刻度 0. 现在,请你对指针进行 n 次拨动操作,每次操作给定一个拨动角度 ai,由你将指针拨动 ai 度,每次的拨动方向(顺时针或逆时针) ...

  2. 在Finalshell中一直弹出弹窗要求输入密码的解决方案

    在finalshell中即使输入正确了密码,仍然要求输入(密码错误), 对CentOS的防火墙也已经关闭,但是仍然提示 这个原因是因为自创的用户名在finalshell中不被认可,需要将用户名更改为r ...

  3. CF223B Two Strings 题解

    题目链接 题目分析 题目很短,只有两句话,可分析的不多,似乎难以入手,我们不妨换一个思路转化一下题意,改为:是否对于 \(s\) 中的每一个字符,总有一个等于 \(t\) 的 \(s\) 的子序列覆盖 ...

  4. [Python急救站课程]输出水仙花数

    python #d = 0 print("所有三位数中的水仙花数如下所示:") for i in range(100, 1000): a = i // 100 # 求百位数 b = ...

  5. [Python急救站课程]等边三角形的绘制

    等边三角形的绘制 from turtle import * penup() fd(-50) pendown() pensize(25) seth(60) fd(100) seth(-60) fd(10 ...

  6. Vue 2.x源码学习:render方法、模板解析和依赖收集

    内容乃本人学习Vue2源码的一点笔记,若有错误还望指正. 源码版本: vue: 2.6 vue-loader: 13.x vue-template-compiler: 2.6 之前的相关学习笔记: 应 ...

  7. 如何通过 wireshark 捕获 C# 上传的图片

    一:背景 1. 讲故事 这些天计划好好研究下tcp/ip,以及socket套接字,毕竟工控中设计到各种交互协议,如果只是模模糊糊的了解,对分析此类dump还是非常不利的,而研究协议最好的入手点就是用抓 ...

  8. 【Codeforces Global Round 12】 C2 - Errich-Tac-Toe题解(思维)

    题面 题目要求不能有有三个连续相同的'X'或'O',注意到这样的连续串它们的横纵坐标之和是连续变化的,考虑将它们按照横纵坐标之和对 \(3\)的模值分组,因为这样分组后相邻的三个相同字符就被分到了三个 ...

  9. 数据驱动决策,Datainside引领可视化报告新时代

    数据驱动决策已经成为当今社会中的重要趋势,而Datainside作为一家数据可视化报告平台,正引领着可视化报告的新时代.下面是关于Datainside平台的详细描述. 数据集成与连接 Datainsi ...

  10. zookeeper JavaApi 创建节点

    import org.apache.curator.RetryPolicy; import org.apache.curator.framework.CuratorFramework; import ...