RSAC应用安全四大热点
|
的认知,为大家总结了如下几个主要的应用安全技术新风向: 一、开源安全 在《RSAC 2020趋势报告》的第二个趋势“实现产品的设计、开发和运营安全”中提到:因为在今年收到的申请中,关于安全产品开发的议题远超以往,因此RSAC针对产品安全、开源安全进行了特别的关注。有许多议题在开源代码的使用、维护、测试、认证等方面,描述机构面临的挑战,并提出了最佳安全实践。 要知道,“实现产品的设计、开发和运营安全”是除了会议主题“Human Element”之外的最主要趋势,也就是真正的“民心所向”。开源安全,又作为其中尤为重要的一个细分领域,在该趋势报告中被多次提及。 早在2017年,Forrester Research的一份研究就表明,为了加速应用的开发,开发人员常使用开源组件作为应用基础,这导致80%-90%的代码来自于开源组件。奇安信代码安全实验室的研究发现,88%的软件开发项目因使用开源软件引入了安全漏洞,平均每个软件开发项目中存在44个已知开源软件安全漏洞。由此可见,随着开源组件在现代软件中使用比率的持续增长,以及日益严峻的组件安全问题,开源(或第三方)组件的发现和管理已经成为AST解决方案中关键性甚至强制性的功能之一。 关于如何应对,Garter则在其应用安全测试领域的报告中一再指出,虽然SCA技术跟传统的应用安全测试技术不太一样,但应当是应用安全计划中应对开源安全的、必不可少的一环。 什么是SCA技术呢? 软件成分分析(SCA)技术是指通过对软件的组成进行分析,识别出软件中使用的开源和第三方组件(如底层库、框架等等),从而进一步发现开源安全风险和第三方组件的漏洞。通常,SCA的检测目标可以是源代码、字节码、二进制文件、可执行文件等的一种或几种。除了在安全测试阶段采用SCA技术对软件进行分析以外,SCA技术还可以集成到MSVC、Eclipse等IDE或SVN、Git等版本控制系统,从而实现对开发者使用开源组件的控制。 二、应用安全编排与关联
在《RSAC 2020趋势报告》的第五个趋势“聚焦软件工程安全”中指出:以DevSecOps为中心的议题在持续增长和成熟,议题围绕着风险管理、治理、合规性、流程、框架等各个方面展开了讨论。 (编辑:烟台站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
