应用程序安全在系统开发生命周期(SDLC)中留下了必要的Shift,通过测试框向后移动,并进入代码创建。这一必要的变化已经向前爬到了多年,但根据451近期的企业信息安全供应商评估研究的声音,终于传递了一个小点。www.yabo11vip.com这笔推理始终清晰 - 修复软件的安全漏洞是在创建后不久修复的成本和努力的最低影响。否则,它通过其他人的手,如测试人员,或者在最坏的情况下被生产中的攻击者利用。

除了信息安全性之外,应用安全测试(AST)工具始终属于开发人员的手中。但是,现代应用发展的速度和制造和发布的纯粹次数,促进了Devops工具的一定程度的标准化,促进了这个问题。

451拿走

通过Devops Tool Chains和敏捷方法获得的效率,在繁忙的上线规划中压力迭代的迭代已将超热应用开发交付,这意味着更多版本。应用安全计划依赖信息安全团队在释放之前直接测试大量产品,从未特别有效,并且快速变得无法维持。强调开发人员角色的应用程序安全供应商,跟上和集成在代码建设中快速使用和提供正确的指导的方法,同时仍会满足信息安全的审计需求,将在最佳位置利用趋势终于在成果。


映射应用程序安全工具用于SDLC阶段

图1:应用程序安全工具的SDLC阶段使用

图1

资料来源:企业的声音:信息安全,2018年供应商评估

“我们在过去的18个月内购买了大量的许可证,因为在信息安全团队之前正在进行静态代码分析而不是开发人员。所以在过去的18个月里,我们把工具放在了开发人员的手告诉他们自己做。“- 高级管理人员,> 10,000名员工,$ 5- $ 999MN,财务

第一个清除指示器是AST的受访者的百分比,现在在代码创建时,现在在大多数情况下运行大多数情况可能在大多数情况下的可能性。SAST或CODE /二进制扫描,旨在2017年动态应用安全测试(DAST)作为AST最常见的方法。2015年,34%的组织在介绍了新代码后运行了这些工具;2018年,这是49%。运行这些工具的组织的百分比仅在同一时期下降到23%至23%。

在同一时期大大增加的应用程序安全性的另一个味道是软件成分分析(SCA),仅拖尾达斯和斯塔,是现代应用建筑中开源普遍的指标。已知为强大的SAST产品中已知的许多主要应用程序安全供应商在其产品中建立了某种形式的SCA。使用Interactive AST或IAST和/或运行时应用自我保护(RASP),其中包含AST的AST的一五分之一或20%的受访者,这两种方法都会查看作为应用程序运行所发生的数据流和事务的方法。在IAST的情况下,这允许收集经典DAST测试的数据类型可能会产生,并且在某些情况下,但是以自动时尚通过代理在后台连续运行。锉刀同样地看着应用程序的数据流在上下文中,但可以采取预防措施,根据它所看到的内容来停止攻击。

映射应用程序安全工具用于团队

图2:应用程序安全工具的团队分配使用

图2

资料来源:企业的声音:信息安全,2018年供应商评估

“......你可以提交代码片段,他们可以提出改变代码来帮助你的建议,这是一个重要的好处,因为我有开发人员回到我身边,我会去,'嘿,你缓冲区溢出了一个问题。他们会去,'好吧,好吧,所以我刚提高了缓冲区的大小。哦,我的上帝,没有。那不是你如何解决它......这是一个古老的问题,但是......当你能去,'哦,是的,如果你只是用代码,'或'这样做。所以这是一个可以帮助你解决这个问题的库,“它不那么痛苦,因为应用安全工具的最大障碍是开发时间表的伸长率。因为开发人员,你用释放周期搞砸了,他们失去了他们的思想。”- 中级管理,1,000-9,999名员工,$ 100- $ 999.99m,信息

第二个指标是AST的团队用法。在调查中,受访者被要求分配四个团队的100个使用点:应用程序开发,质量保证,信息安全和“其他”类别,以捕获在这三个角色之外的使用。虽然信息安全仍然是42%的最大用户,但2015年的57%下降。同时,作为用户的应用程序开发从23%到31%。

含义

对应用程序安全供应商和企业安全的影响是多个;第一个最明显的一个是越来越复杂的销售周期和评估过程。大型组织中的信息安全团队仍然具有在应用程序安全上消费资源的最大动机,并保留了作为这些工具的最大用户的角色,尽管这是明确的趋势线。而不是尝试运行扫描并开始向他们的代码提出建议,也是一个困难的命题,即使信息安全团队有编码专业知识(它们并不总是有),并且遗憾的是导致倾销普通漏洞报告在围栏上,安全团队应包括作为申请和流程审计员的理想角色:找到逃离代码构建过程的问题,并监测漏洞识别和整体修复的疗效。这意味着两支球队之间的综合方法在评估服务产品之间。

另一种含义是推动这些工具中的集成开发人员教育,解决了许多学院或大学计算机科学计划的安全编码指导缺陷。AST供应商的关键是紧密的集成,提供个人发展机会在安全编码中,简短,易消化,在对漏洞中的漏洞中的内容突发中,AST工具是识别的。

最后,集成到Devops工具中,包括构建工具,票务系统,协作或通知工具,以及越来越常见的,以避免开发人员在其注意中标记出问题时,将任何上下文切换。虽然独立测试具有其位置,但只有通过在临时基础上测试的开发过程中的测试,才能实现全面的应用安全覆盖。
丹尼尔肯尼迪
研究主任,企业之声:信息安全

作为451研究的信息安全的研究主任(投票)定量研究产品的信息安全,丹负责管理研究过程的所有阶段。www.yabo11vip.com他是一位经验丰富的信息安全专业人员,他们为福布斯(Ziff Davis)编写,为纽约时报和华尔街日报等众多新闻网点提供了评论,他的个人博客Praetorian州被认为是前五名之一RSA 2010会议的信息安全技术博客。

斯科特克劳福德
安全研究主任

Scott Crawford是451研究中信息安全渠道的研究总监,在那里他在信息安全市场中引发了新兴趋势,创新和中断的覆盖范围。www.yabo11vip.com

基思道森
主要分析师

Keith Dawson是451次研究客户体验与商业实践的主要分析师,主要涵盖www.yabo11vip.com营销技术。Keith一直覆盖了25年的通信和企业软件,主要是如何影响如何影响和优化客户体验。

想阅读更多?立即请求试用。