【简介】本文内容来源于:翻译IDC报告《IDC TechBrief: Interactive Application Security Testing》。作者将会持续连载,敬请关注后续更新。
技术路线图
随着供应商继续在IAST 特性上投资, 新的创新和功能将结出硕果,特别是在支持现代云原生架构方面,多语言应用程序由高度分布式、松散耦合的微服务组成。
在短期内,我们可以预期供应商将扩展他们的编程语言支持,以与更新的现代语言一起工作-特别是支持函数式编程语言,如 JavaScript, Python 和 Kotlin。
不同的供应商对语言的支持各不相同,所以要寻找那些支持你目前使用的语言,并承诺支持你 未来可能需要的其他语言的供应商。
相邻的技术影响
最常见的 IAST 相邻技术是更传统的应用程序安全测试工具, 如 SAST 、DAST 和 SCA(参见 IDC 技术简报:开源软件的软件组成分析,IDC #US46133920, 2020 年 3 月)。
此外,一些新兴厂商正在创建云原生应用程序安全测试工具,重点关注运行在容器和 Kubernetes 上的 分布式应用程序。这些供应商正在开发创新的方法来发现和搜索跨运行应用程序的漏洞,并构建动态运行时软件物料清单(SBOM)。这一领域的新兴供应商包括 Rezilion 、Oxeye 和 Bionic。
重要的指标
图4 交互式应用程序安全测试:重要的度量
注意:IDC 认为图 4 中列出的指标是最适合该技术传达价值的指标。 资料来源:IDC, 2022
使用重要的指标进行沟通
对于任何新的事业或技术,衡量其有效性以了解组织是否实现了预期的投资回报率是至关重要的。
部署 IAST 解决方案应该使开发人员能够提高效率,因为他们可以在开发过程中更早地识别漏洞, 此时他们最熟悉自己的代码和错误,并且从资源和安全风险的角度来看,修复漏洞的成本最低。此外, IAST 解决方案提供的分析允许开发人员精确定位问题,识别出的漏洞的来源 ,并快速修复它,而不会在等待扫描结果时被阻止。
质量对于任何成功的 DevSecOps 程序都是至关重要的。由于 IAST 正在分析整个应用程序堆栈的安全性并测试广泛的漏洞, 因此它可以在降低下游应用程序泄露的风险方面发挥关键作用。这种全面的安全测试提高了应用软件的质量。易用性使开发人员更容易参与 DevSecOps, 因为他们不必处理跨不同工具关联和解释安全扫描结果的辛苦工作。
风险预测
图 5 交互式应用程序安全测试:风险概况
来源:IDC, 2022
关键风险评估
风险管理和治理实践对应用程序越来越重要。管理人员应该通过评估为 DevSecOps 采用 IAST 的应 用程序的风险概况,采取系统的方法进行风险管理,如图 5 所示。
此外,基本的风险因素包括目前提供 IAST 解决方案的供应商的稳定性和生存能力,以及这些供应商被收购并将其技术路线图集成到收购公司的业务风险。
对这些技术的评估应基于它们与现有DevOps工具和流程的互操作性水平、与相邻技术的标准化,以及诸如软件漏洞识别、应用程序代码覆盖和策略管理等关键功能。
此外,虽然您的组织可能不是美国政府机构或与政府有业务往来,但您受到 14028 号行政命令的影响只是时间问题。该命令强调,网络事件的预防、检测、评估和补救是重中之重,对国家和经济安全至关重要。此外,它还强调了私营部门效仿的必要性。 IAST 解决方案可以帮助组织遵循这些标准。
IAST 是新的最低应用程序安全测试标准批准的技术,这个标准是根据行政命令14028,NIST被命令创建。此外,它还通过了 NIST 800-53、PCI 软件安全框架和 OWASP 的认证。
组织就绪评估
在任何组织内保持适当的应用程序安全级别都是至关重要的,如果做不到这一点,可能会导致客户失去信心,甚至受到民事处罚。传统的应用程序安全测试可能会产生摩擦,并不必要地延长发布周期,从而阻碍开发速度和创新速度。IAST 解决方案可以帮助您减轻这些挑战。
具有集中式安全测试的组织可能需要调整团队职责和流程,以启用更加以开发人员为中心的安全方 法。 对于缺乏 DevSecOps 成熟度的传统组织文化来说,团队职责的这种调整可能是一个有困扰的转变。
此外, IAST 可以用于扩展 DevSecOps 实践, 因为 IAST 非常适合 DevOps,传统 DevSecOps 安全工 具的集合可能会减慢速度,并增加 DevOps 流程的摩擦。
近期评论