如今,为了全面保护软件的安全,相关企业必须考虑整个攻击面。这意味着除了传统的静态应用安全测试 (SAST) 和软件组成分析 (SCA) 之外,还对 Web、移动和 API 应用实施持续的动态应用安全测试 (DAST),在开发和生产中能验证web应用程序的安全性。
独立技术和市场研究公司Forrester发布的《2022年度应用程序安全状况报告》显示,应用程序是最常见的攻击媒介,“Web 应用程序漏洞利用”是最常见的攻击之一。有鉴于此,新思科技建议企业以恶意攻击者的视角去测试其运行的 Web 应用程序,以便在被黑客发现和利用之前识别并修复漏洞。
新思科技软件质量与安全部门软件工程师Rui Paquete介绍道:“动态应用安全测试 (DAST) 运行的 Web 应用程序是否存在 SQL 注入和跨站点脚本等漏洞(换句话说,如果一个应用程序正在运行,它就是动态的)。这些在生产应用程序中被利用的常见漏洞在源代码中并不存在;它们只有在部署到生产环境后才会出现。这使得 DAST成为任何应用安全测试计划的重要组成部分。测试过程是通过HTTP请求和响应进行的。DAST通常也被称为‘黑盒’测试。”
虽然有许多方法可用于测试应用代码的安全和质量,但 DAST 适用于应用已启动到生产中的场景。因此,DAST 可以评估尚未识别和/或修复的潜在软件风险。
DAST可以在应用生命周期的最后阶段执行。虽然仍然可以添加或修改新功能,但应用程序的总体范围已经定义。基于此,DAST 工具可以成为开发团队在应用程序维护方面的强大盟友。如果执行得当,DAST 测试可以显著减少重复工作或技术债务。
DAST的作用类似于拼写检查器。而且,随着时间的推移,默认情况下,DAST还可以被视为更安全的开发实践的教育工具,启发开发人员了解什么方法有效,什么无效。
Rui Paquete指出,编写代码的方法有很多种,加固代码的方法也有很多种。持续执行DAST测试,随着时间推移,这种强化代码过程变得越来越高效,因为模式变得更加明显。例如,您的底层代码中可能存在特定问题,允许Javascript恶意运行。从表面上看,问题在哪里或如何发生可能并不明显。但当使用 DAST 扫描时,您可以清晰地掌握这些信息,并快速确定根本原因——而不是在很长一段时间内单独评估这些问题。这样一来,企业就能够将更多资源投入到其它领域,以不断提高生产力。
企业的首席信息安全官(CISO)应该了解DAST并将其视为编程增强器。企业构建的软件是否安全?测试机制是否贯穿于整个软件开发过程? DAST就是这个过程中不可或缺的环节。它不仅能识别现有软件产品中存在的漏洞类别,而且还可以弥补在软件开发过程早期进行的其它测试的不足。DAST 是一种可以连续自动运行的测试方法。团队可以轻松、持续构建应用程序,并一直维护它们。
值得注意的是,人们对静态应用安全测试 (SAST) 、软件组成分析 (SCA) 及DAST 的功能和应用感到困惑。由于测试方式存在根本差异,SAST、SCA以及DAST的扫描结果不尽相同。因此,大多数企业在开发过程的不同阶段采用了这三种技术。
当开发人员编写代码时,SAST 在软件开发生命周期的早期处理专有代码; SCA 解决开源代码中的质量、安全和许可证合规性问题。 DAST 涵盖应用程序中通过 HTTP 请求和响应传输的信息,是一种有针对性的测试方法。在软件开发过程的各个阶段应用不同工具解决方案是创建强大安全态势的关键。
新思科技中国区软件应用安全技术总监付红勋表示:“软件驱动创新,现在几乎所有业务都基于软件进行。但这些不断演变的应用和系统也可能包含漏洞,不法分子可以利用它们来破坏和窃取关键数据。幸运的是,我们可以通过强大的安全流程来降低大部分风险,并确保新功能和更新得到正确测试。通过将DAST纳入安全流程,企业可以对其生产环境进行彻底和安全的扫描。这使他们能够在功能和安全之间取得平衡,并能够在不影响安全的情况下向客户提供全新特性和功能。”
现在互联网上有超过 20 亿个网站,而且还在不断增多。DAST在大规模测试中大有可为,能随着安全测试需求的变化而快速扩展。DAST为开发团队提供不拖慢开发速度的关键测试能力,以提高代码的安全性和质量。
好文章,需要你的鼓励
来自耶路撒冷希伯来大学的研究团队开发了WHISTRESS,一种创新的无需对齐的句子重音检测方法,能够识别说话者在语音中强调的关键词语。研究者基于Whisper模型增加了重音检测组件,并创建了TINYSTRESS-15K合成数据集用于训练。实验表明,WHISTRESS在多个基准测试中表现优异,甚至展示了强大的零样本泛化能力。这项技术使语音识别系统不仅能理解"说了什么",还能捕捉"如何说"的细微差别,为人机交互带来更自然的体验。
这项研究提出了"力量提示"方法,使视频生成模型能够响应物理力控制信号。研究团队来自布朗大学和谷歌DeepMind,他们通过设计两种力提示——局部点力和全局风力,让模型生成符合物理规律的视频。惊人的是,尽管仅使用约15,000个合成训练样本,模型展现出卓越的泛化能力,能够处理不同材质、几何形状和环境下的力学交互。研究还发现模型具有初步的质量理解能力,相同力量对不同质量物体产生不同影响。这一突破为交互式视频生成和直观世界模型提供了新方向。
北京交通大学与西蒙弗雷泽大学联合研发的混合神经-MPM方法实现了实时交互式流体模拟。该方法巧妙结合神经物理学与传统数值求解器,在低时空分辨率下运行神经网络并设置保障机制自动切换到MPM,显著降低计算延迟同时保持高保真度。团队还设计了基于扩散模型的控制器,支持用户通过简单草图直观控制流体行为,为游戏、VR和设计领域提供了实用解决方案。
这项研究介绍了EgoZero,一种创新的机器人学习系统,能够仅通过Project Aria智能眼镜捕获的人类示范数据,训练出零样本迁移的机器人操作策略。研究团队提出了一种形态无关的状态-动作表示方法,使用点集来统一人类和机器人数据,并开发了从原始视觉输入中提取准确3D表示的技术。在没有任何机器人训练数据的情况下,EgoZero在7种真实世界操作任务上实现了70%的成功率,展示了强大的泛化能力,为解决机器人学习中的数据瓶颈问题提供了新思路。