安全需要考虑成本,原因之一就是因为安全建设是一个无限期的投入过程,甚至可能很长时间内都无法明显看到回报,这一点在企业堆叠大量设备、投入大量人力物力后,却得到一堆更耗费精力的噪声数据的情况中尤为,明显。
交互式应用安全测试(IAST)和软件组件分析(SCA)是近一年来测试效果好,且比较新的技术,也是践行DevSecOps最佳实施方案。IAST解决方案的出现是帮助企业识别和管理应用系统潜在的漏洞,从而规避安全风险,降低企业运营成本。
Verizon 公司刚刚发布一年一度的《2019年 数据泄露调查报告 (DBIR)》(2019 data breach investigations report),分析了包含2013起已经证实的数据泄露事件在内的41,686起安全事件。
52%的漏洞以黑客攻击为特征,可见web应用程序攻击仍然是数据泄露最常见的载体方式之一。目前还是有很多企业以业务优先,安全滞后的观点,上线后补救,但带来的后果也是显而易见的,比如修复成本高,修复周期长等困扰。
根据某研究机构发布的2018年开源安全和风险分析报告显示,被扫描的应用程序中存在96%的开源组件,每个应用程序中平均有200多个组件。很多企业开发人员并不知道他们使用多少甚至使用什么类型的开源组件,显而更不知道使用过的开源组件是否存在安全漏洞。
有些企业,特别是对安全要求非常高的,金融、证券、保险、能源等行业,所在的开发团队和安全团队会用一些静态应用安全测试工具(SAST)和软件成份分析解决方案(SCA)来识别web应用程序中的安全缺陷和漏洞,从实际使用效果来看,静态应用安全测试工具存在漏报率高,漏洞检测不全的问题&