持续应用安全(CAS)研讨之:SAST

攻防
1年前

20221122165641.png

【编者按】
  持续应用安全(CAS)是数世咨询在软件供应链安全研讨会上首次提出的解决我国软件供应链安全问题的新思路。CAS专注于保障数字化应用的,源代码阶段-构建部署阶段-上线运行阶段,全流程的安全状态。CAS可以通过安全能力高度融合和安全数据关联分析的方式,经由统一调度管理形成体系化的解决方案,以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。
  持续应用安全(CAS)研讨系列文章的主要目的是,通过CAS核心能力提供者对CAS的研究,从不同的角度解读CAS,共同推进CAS的落地进程。CAS已经得到比瓴科技、酷德啄木鸟、思客云、孝道科技、四维创智、边界无限、云智信安、云起无垠等核心能力提供者的认同,目前已推出三篇文章:

持续应用安全(CAS)研讨之:ASOC
持续应用安全(CAS)研讨之:IAST
持续应用安全(CAS)研讨之:SCA
后续还会推出DAST、FUZZING、RASP和移动应用安全检测方向的内容。

  软件供应链是用于构建软件应用程序的组件、库和工具一系列过程的总和。软件供应商通过组装开源和商业组件来完成产品的创建。软件供应链可以看成是一个生态系统,就像任何其他供应链一样,通过一系列步骤和过程进行功能转化,最后作为产品或服务提供给用户。

  对于软件供应链安全而言,其安全性仅与软件供应链中最薄弱的环节安全性保持一致。供应链存在的步骤越多,意味着软件存在安全风险越大。软件中存在的开源软件安全风险也会随着时间的推移而增加,导致越来越多的软件安全漏洞被发现,例如2021年的 Log4j “核弹级” 漏洞 Log4Shell(CVE-2021-44228)已经证明一个项目中的一个漏洞就可能对整个软件行业产生巨大影响,全球超过40%的企业可能会因为此漏洞受到影响。

  同时也正是由于供应链越来越多的依赖外部组件,软件变得更容易受到攻击。软件供应链风险往往会继承来自依赖的风险关系。因此需要将安全检查嵌入到安全开发和软件流水线的每个阶段,保障供应链体系安全。

  但网络安全行业呈现碎片化发展,没有任何一家安全厂商可以覆盖安全业务全流程,也没有任何厂商可以在高速变化的今天,针对安全业务的变化维持高质量和高效率的创新输出。随着技术融合和复杂度的提升、IT架构的改变,企业需要采购的安全工具逐年增加。其中,选品采购流程复杂、周期长,并且这些单点采购的工具连通性和协同性较差,实际工具产生的联合安全作用较低。促使国内外TOB企业,探寻业务突破,近些年呈现业务平台化趋势。

CAS生态落地,安全业务模式升级

  CAS持续应用安全旨在整合网络安全应用工具资源,实现平台内部调配、迭代与集成,提高效率的同时降低开发团队采购成本。CAS涉及的业务包含了从代码构建阶段的安全开发,到软件上线运行后的安全应用,保障企业数字化业务的构建、上线和运营,全流程的安全状态。

  不仅如此,CAS业务模式可通过过往数据流形成安全新情报,促进业务优化产品迭代。CAS通过离散式制造、统一式交付、集中式管理、智能式应用的方式使安全能力可持续发展。在庞杂的供应链安全业务模式下,CAS成长将分为三个阶段:第一阶段聚焦于应用,主要解决软件开发安全和软件运营问题;第二阶段加入数据,与数字化业务相结合;第三阶段完整的解决软件供应链安全问题,实现安全业务逐步升级。

SAST改善代码基因,助力商业运作安全远行

  Gartner 报告曾指出,在当前 DevOps 之类的开发模式下,应用程序中大部分代码是被“组装”而不是“开发”出来的。据其统计,超过 95% 的组织在业务关键 IT 系统中都主动或被动地使用了重要的开源软件(OSS)资产;开源安全性不容乐观,它已成为软件供应链安全问题增长的重要因素。

  CAS平台发展第一阶段把问题聚焦在根基,在应用工具开发阶段安全左移有两个关注的点:1.自研软件问题;2.开源软件使用问题,主要涉及的应用工具是SAST、SCA,IAST本次将重点讲解SAST在CAS平台中发挥的重要作用。

  SAST是静态应用程序安全测试工具,技术在软件开发周期的早期就被使用,并且可以在不运行代码的情况下进行测试,这让开发团队得以在最终确定各种代码特性和功能之前使用此类扫描工具。因此,被发现的任何安全问题都可以得到及时解决。任何漏洞都会在开发的早期被发现,所以应用程序的“破绽”或安全问题都难逃“法眼”。通过分析程序源代码以识别代码中的安全漏洞,这些漏洞包括 SQL 注入、缓冲区溢出、XML 外部实体 (XXE) 攻击和其他安全风险类型。

  与许多其他安全工具相比,SAST 扫描工具可以在相对较短的时间内分析100%的应用程序代码库。酷德啄木鸟SAST产品——CodePecker源代码缺陷分析系统(以下简称:“补阙”)的检测速度已经超过每分钟10000行,并支持千万级代码扫描,为开发团队节省时间提高检测效率。同时, SAST 工具与开发周期的其余部分可无缝集成,从而无需将代码审计任务安排到开发日程中,继而无需在源代码中花费大量时间查找安全漏洞,让软件在开发阶段更加高效与安全。

  SAST 工具会准确报告应用程序源代码中的问题所在,实时生成报告,“补阙”则在此基础上标注问题坐标,从而不必花费大量时间去查找问题以及定位检测到的安全漏洞的来源,让团队更及时解决问题。事实上,“补阙”甚至会在程序员编写代码时直接显示应用程序代码库中的问题,同时会在小错误被其他代码掩盖并变得难以检测之前捕获它们,减少整体开发时间。

  除此之外,“补阙”降低了开发人员使用SAST的门槛,一键式检测,生成可视化报告,并通过机器学习技术基于历史代码审计信息学习识别有效缺陷。其强大的兼容性能够让大多数主流编程语言和平台得以使用适配的高质量扫描工具。

  如今系统云化更利于用户使用,轻量级部署节省了大量IT成本,对于企业未来技术革新是重要趋势。这也是CAS把云化和开发、运营安全放在第一发展要位的因素,SAST作为开发安全阶段的技术手段,承担了软件开发过程中至关重要的环节即:夯实安全基础。“补阙”让传统安全业务化被动防御为主动防御,改善代码基因,从代码的源头解决安全问题,2022年获得了统信麒麟认证,标志着酷德啄木鸟在国产化适配的道路上将不断前进。

  最后,中国网络安全事业任重道远,随着业务变革带来的挑战将逐渐增多,CAS平台融合优秀国产厂商代表的前沿技术,不断输出具有针对性的安全解决方案,助力中国商业运作安全远行。

中国数字安全能力图谱-应用场景.png

参考阅读
持续应用安全(CAS)研讨之:ASOC
持续应用安全(CAS)研讨之:IAST
持续应用安全(CAS)研讨之:SCA