从“安全左移”到“无处不移” 新思科技最新报告显示97%的应用存在漏洞 原创

在软件驱动的时代，代码的安全性不言而喻。如果企业所销售的软件或包含嵌入式软件的产品出现了影响产品使用的软件安全、合规或质量问题，将给企业带来难以承受的影响。

现在，基于云的部署、现代技术框架和快速的交付速度正迫使安全部门做出更快的反应。

随着越来越多企业采用云解决方案，云安全策略将在未来几个月到几年内日益成熟。自动化和配置可以有助于保护云端的敏感数据。Kubernetes等编排技术的使用持续增加，并且对容器和Kubernetes安全解决方案的需求也会增加。

基础设施即代码与云原生架构都已经是常态化。因此，企业将需要重新审视已实施的安全计划，以防在迁移到新架构时，以往的策略变得没有效用。 这些技术变革意味着需要对员工加强培训，以便他们具备有效支持和保护系统所需的技能。

新思科技中国区软件应用安全技术总监杨国梁告诉记者，DevSecOps、云化转型、风险管理成为企业确保AppSec的重要趋势。 现在，企业开始意识到AppSec与构建、部署和运行软件的方式密不可分。

在AppSec领域，企业一直在采用静态分析工具、交互式应用安全测试工具和软件组成分析工具等，以期快速做出决策并培养DevSecOps文化。但是实际上，企业面临应用程序数量激增、应用的发布周期越来越短，而安全部门和开发部门的目标不一致。

无论对安全还是对开发来讲，人员和工作量都处于一个很紧张的状态。另外，安全和开发的工具目前都处于一个相对比较碎片化的状态，很难形成一个公司整体的策略。因此，对软件安全的了解及应用安全测试须更加全面。

杨国梁说，从风险管理的角度来看，企业需要把所有各个阶段发现的问题作一个汇总整合，而不是应对一个一个频繁冒出来的安全漏洞。AppSec是风险管理的关键部分，成功的AppSec意味着更少的软件漏洞，这意味着更低的风险，生产力以及客户满意度也会更高。

全方位的应用安全测试是当今世界管理软件风险的重要手段之一。当企业缺乏执行高级黑盒或灰盒安全测试（如渗透测试）所需的人力资源或工具时，或者需要审查内部软件安全控制机制时，与像新思科技这样的第三方合作是最佳选择。

新思科技发布的《2021年软件漏洞快照：新思科技应用安全测试服务分析》报告显示，97%的被测目标被发现存在某种形式的漏洞；其中30%的目标是高风险漏洞；6%是严重风险漏洞。

结果表明，安全测试的最佳方法是利用广泛可用工具来帮助确保应用或系统没有漏洞。例如，28%的测试目标曾遭受过跨站脚本（XSS）攻击。这是影响Web应用最普遍和最具破坏性的高/关键风险漏洞之一。许多XSS漏洞仅在应用运行时出现。

现在的应用程序越来越多采用了微服务的模式，并通过API传输数据，大量的开源、第三方组件、库、框架被使用，这无疑让应用安全更加复杂。

比如大多数组织一般会混合使用私有代码、商业现成代码和开源组件来开发对外销售或内部使用的软件。通常情况下，这些企业仅通过非正式清单或甚至没有清单，来记录其软件正在使用哪些组件，以及这些组件的许可证、版本和补丁状态。由于许多企业在使用数百个应用程序或软件系统，可能拥有数百至数千个不同的第三方和开源组件，因此迫切需要一份准确时新的软件物料清单（SBOM）来有效追踪这些组件。

开放式Web应用程序安全项目（即OWASP）Top 10是大量开发人员和Web应用安全团队共同确定的具有最重大安全风险的Web应用漏洞。

杨国梁表示，现在最新的OWASP Top10的版本更关注到了一些根本的问题，甚至更早期阶段的一些问题，比如“不安全的设计” (Insecure design)、 “访问控制”等。

从设计/与设计、编码、测试到部署/生产阶段，安全挑战无处不在，需要尽早发现问题并解决问题。自动化测试并没有能力发现所有的设计、编码甚至一些配置的缺陷，需要依赖于工具与专家测试相结合。

软件风险属于业务风险，要管理业务风险应先管理软件风险。虽然诸如静态应用安全测试（SAST）的白盒测试可以在软件开发生命周期的早期阶段发现安全问题，但SAST无法发现运行时的安全漏洞。并且有些漏洞是无法通过自动测试工具轻松检测到的，需要手动测试才能发现。

新思科技DAST评估中包括手动测试，可发现开箱即用的工具通常无法发现的漏洞，例如与身份认证和会话管理、访问控制及信息泄漏相关的一些漏洞。

此外，新思科技此前收购Code Dx后，可以凭借自身解决方案及超过75种第三方和开源应用安全与开发产品生成关联的软件漏洞数据，为客户提供综合风险报告和优先级排序。

“应用安全需要考虑SAST（静态应用安全测试）和DAST（动态应用安全测试）、SCA（已知漏洞），依靠完善的自动化测试以及不可或缺的人工经验组成起来，才能达到比较好的风险管理效果。”杨国梁说，“不同发展阶段的企业在人的能力和工具之间的侧重是不同的。”

如今企业数字化转型不断提速，而数字化转型不止是业务转型，更是保持未来核心竞争力的有效途径。而企业业务现在基本上都是依托软件，所以一个可信的或者安全的软件至关重要。

如何构建可信的软件呢？杨国梁表示，新思科技总结了三点：第一，保护软件的供应链安全，使用全面的应用安全工具检测专有代码、OSS/第三方依赖项、应用程序行为和部署配置中的安全性、质量和合规性问题；第二，将安全性纳入DevOps，借助智能AST编排和关联，帮助团队保持DevOps速度，并将修复重点放在对业务最关键的问题上面；第三，建立全面的应用安全项目，使人员（people）、流程（process）和技术（technology）保持一致，以解决整个企业和应用生命周期所有阶段的安全风险。

软件是否安全直接关乎到数字化转型的成功与否。无论是为了提升效率，还是为了合规，软件安全不可忽视；无论是企业，还是消费者，对软件安全的关注度只会有增无减。