您现在的位置是：首页 > 文章详情

2022年：应用安全编排与关联（ASOC）“兴起元年”

日期：2021-12-27点击：480收藏

2022年将是越来越多的组织开始利用应用程序安全(AppSec)作为业务推动因素的一年。传统上，AppSec被视为阻碍业务进展的资源密集型障碍。但是现在，这种观念发生了颠覆，组织逐渐意识到AppSec与我们构建、部署和运行软件的方式密不可分，而且它对于企业安全和合规性同样至关重要。同时，通过AppSec自动化还可以减少保护软件所需的时间和资源。

对于软件开发的企业而言，2022年将是AppSec重要性愈发凸显的一年。当AppSec工具自动运行，并且结果与现有流程和问题追踪器集成时，开发人员可以将修复安全漏洞作为其日常工作流程，无需再单个系统的手动操作，也无需逐条浏览安全团队的数千页PDF报告，来试图找到需要做的事情。当安全测试自动化并集成到安全开发过程中时，它就成为了应用程序开发的无缝部分。

与此同时，企业组织也开始认识到AppSec是风险管理的关键部分，正确实施AppSec计划能够带来商业利益。好的AppSec意味着更少的软件漏洞，这也就意味着更少的灾难或令人尴尬的声誉风险，但同时也会导致更少的支持案例、更少的紧急更新、更高的生产力和更安心的客户。但是，企业组织如何才能将这些知识转化为力量呢?

应用安全编排和关联(Application security orchestration and correlation，通常称为ASOC)可以提供兼顾开发速度与安全的解决方案。虽然业内都明白开发安全的重要性，但他们普遍认为增加安全性投入会降低开发速度。

在现代软件开发过程中，速度是关键。构建速度要求比以往任何时候都快。仅在Android上，Facebook每天就有50,000到60,000次构建。此外，据报道，亚马逊每秒都会将新软件部署到生产中。换句话说，每天有86,400次构建。

ASOC工具通过自动化工作流来简化软件漏洞的测试和修复。首先是安全测试自动化，其次将来自多个源(SAST、DAST、IAST、SCA、漏洞评估等)的数据提取到数据库中，再通过关联和分析检测结果，以实现修补措施的统一和优先级排序。

随着DevSecOps越来越被广大企业所接受，ASOC在两个关键领域所提供的便利将越来越明显：一是对应用程序安全测试计划的简化，以带来在管理工作流方面的效率提升;二是为最关键的安全风险进行优先级排序，进而解决资源稀缺的问题。

2019年，分析公司Gartner将“ASOC”一词添加到了炒作周期中，进一步肯定了其重要性。未来，ASOC还会有更大的发展空间，因为它可以帮助开发人员过滤信息过载的噪音。

但要如何实现呢?一个有效的ASOC解决方案将完成以下五件主要的事情，以提升软件安全测试的效果，同时跟上不断加快的开发步伐：

执行测试

ASOC使用企业组织拥有的任何AppSec测试工具运行应用安全测试。工具的编排组件经过编程，以适应被测试的应用类型和组织的需求，可确保在正确的时间进行正确的测试。

关联结果

不同的测试工具以不同的格式和命名法呈现结果。ASOC将它们标准化为统一的命名法，然后匹配它们以消除冗余。然后将结果组合，并聚合成超集。

优先排序

并非所有的软件漏洞都是同等水平的：有些微不足道，但有些则是至关重要的。开发团队应该专注于关键的事情。强大的ASOC工具可以通过两种方式实现优先排序：首先，通过可定制的规则，组织可以优先修复某些漏洞;第二种方法是通过机器学习(ML)来了解哪些项目应该重点关注和修复，哪些应该忽略。执行扫描时，ASOC工具应该能够向开发人员显示一组基于先前活动的结果，这些结果反映了其修复优先级。

追踪修复

优秀的ASOC工具可以拥有最高优先级，以快速发现漏洞，并在漏洞追踪器(例如Jira、Bugzilla)中自动打开工单。它可以将信息连同漏洞的类型、它在代码中的位置一起发送给开发人员，还可以提供修复指导。此外，它还可以验证漏洞何时得到纠正，并在完成后自动关闭故障单——这被称为双向问题追踪器集成。

中心化平台

分析师或高管不需要使用每个单独的工具来了解软件存在哪些问题，以及正在采取哪些措施来解决这些问题。ASOC解决方案可以充当AppSec记录系统。它还可以帮助安全主管回答一些基本问题，这些问题在关于“安全团队如何最大限度地降低业务风险”的董事会讨论中，以及存在有关安全合规问题的情况下都发挥着重要作用。此类问题可能包括：

软件是否经过测试以及何时测试?