SAST + SCA: 结合使用安全升级
据 SAP 称,当今85%的安全攻击针对的是软件应用程序,因此一些列应用程序安全测试工具也应运而生。为了避免这些恶意攻击,企业通常使用应用程序安全测试工具来去缓解和解决安全风险,而不同的工具对应的使用方法和覆盖范围各不相同。本次,小德将针对性讨论 SAST 和 SCA 这两种类型的应用程序安全解决方案如何帮助企业应对不同的风险。
软件世界的风险与挑战
在这个依靠软件运行的世界中,企业面临一个挑战:开发好的软件很难。随着软件变得越来越复杂,确保其可靠性和安全性变得更加困难。无论是购买的软件、专有软件还是作为服务交付的软件,都无法避免漏洞问题,而开源软件更是如此。但开源的优势相较于传统开发模式更加突出,即更快的上市时间、更多的创新机会、更低的开发成本以及与全球开发人员社区更密切的联系。然而企业有时会忽略与开源使用相关的安全和风险管理挑战。
专有代码中的问题
在开发过程中,开发人员难免会将一些安全问题(例如OWASP Top 10 和 2019 CWE Top 25中列出的问题)误引入专有代码中。最著名的安全问题包括 SQL 注入、破坏的身份验证和会话管理以及跨站点脚本。而静态应用程序安全测试 (SAST) 可以在开发人员编写代码时,或在提交、构建或测试阶段,通过检查代码本身来检测常见类型的问题。
开源组件中的漏洞
开源漏洞,例如美国国家漏洞数据库(NVD) 中列出的漏洞,是通过在代码库中使用开源组件引入的。其实开源软件并意味着不比商业软件更安全或更不安全,只是缺乏对其使用的开源可见性的企业无法有效缓解和修复开源漏洞。同时开源漏洞的数量正在增长,NVD 仅在 2018 年就报告了超过 16,000 个新的开源漏洞。软件成分分析(SCA) 侧重于识别代码库中的开源成分,以便开发团队可以更好地缓解管理他们面临的安全和许可合规风险和问题。
与攻击者的较量
企业通常会采用数种方式来缓解和解决漏洞风险和问题,但如何更高效地管理漏洞是企业都十分关注的地方。虽然修复漏洞可能仅仅需要花费几天或几分钟的时间,但企业往往需要花费数月时间来发现可被利用的漏洞。
此外,开源漏洞还会带来额外的安全风险。因为开源在任何地方都可以访问和使用,恶意攻击者则会利用这一点,来访问有关已知开源漏洞的信息以及有关如何利用漏洞的详细信息。比如,当漏洞被报告出来时,开源社区通常也会相应发布该漏洞的利用方式说明。因此,开源的存在虽然让软件开发变得更加便捷高效,但同时也给恶意攻击者提供了同样信息源和便利。
SAST vs SCA: 差异一览
应用程序安全挑战多种多样,那么解决这些挑战的最佳方法是什么?解决软件漏洞的有效方法当然包括安全测试工具,使用 SAST 来发现专有代码中的问题,以及使用 SCA 来发现开源代码中的漏洞。
同时包含 SAST 和 SCA 的软件安全程序会更加全面,而企业也会获得以下的效果:
- 通过早期识别和选择安全组件提高了产品质量
- 跨专有代码和开源组件的更高的安全风险可见性
- 降低在开发过程早期发现和修复的漏洞的补救成本
- 针对已知开源漏洞的攻击将安全漏洞风险降至最低
- 优化的安全测试,有效与敏捷开发工具和实践兼容
让我们分别来看看这两个安全测试工具的特点及其优势
静态应用安全测试 SAST
SAST 通过检查应用程序的源代码来查明可能的安全问题,有时称为白盒测试(因为源代码可用且透明)。SAST 在软件开发生命周期(SDLC)的早期发挥了巨大的作用,而在软件开发早期修复问题相对容易且成本更低。SAST 可以有效地发现上文提到的许多常见安全问题,例如跨站点脚本、SQL 注入和缓冲区溢出。
SAST 优势
- 查明专有代码中的缺陷和问题
- 在 SDLC 早期发现问题,此时修复成本远比在软件开发中后期要低得多
- 在代码投入生产之前检测问题)
软件成分分析 SCA
SCA 识别代码库中的所有开源并将该清单映射在当前已知漏洞的列表。入门级解决方案只是收集有关已声明的开源(例如库)的信息并将其与 NVD 进行比较,而更高级的解决方案则会使用复杂的源代码和二进制文件扫描,来确保其更全面地识别所有开源代码,包括从已知来源复制的代码片段。除此之外,还使用其他漏洞信息来扩充 NVD 数据,以提供更完整、更及时的报告。先进的 SCA 解决方案会针对应用程序部署后报告的漏洞提供持续监控和警报。
SCA 优势
- 可靠地检测和映射其他方法无法发现的已知开源漏洞
- 提供对正在使用的开源代码的完整说明
- 持续监控发现的新漏洞
| SAST | SCA |
| 检测专有代码中的漏洞 | 检测开源中的漏洞 |
| 检测内部编写的专有代码中的潜在漏洞 | 检测开源组件中的存在已知漏洞,每个漏洞的细节安全信息是公开可获取的 |
| 需要访问源代码 | 不需要访问源代码 |
| 分析源文件,对用户的源码进行扫描 | 标识源文件和二进制文件,他可以不需要扫描用户的源码,而只计算所有库盾的数字签名 |
| 将复杂的修复过程简单化 | 漏洞修复更加轻松 |
| 不能帮助开发人员修复专有代码中的缺陷 | 由于97%的开源漏洞都有相关的修复,开发人员只需要修补或下载最新版本 |
| 在SDLC集成中左移安全性 | 端到端SDLC覆盖范围 |
| 将安全性左移以尽早发现问题,目前与CI服务器和IDE集成 | 开源安全性从与IDE和存储库集成开始一直覆盖到产品部署上线发布后。在发布部署后仍可以持续对漏洞进行监测以及挖掘 |
| 传统上高误报率 | 极少误报或者零误报 |
| 传统上白盒工具对专有代码扫描的结果中会包含相对高数量的误报 | 对于以精确方式将漏洞与组件相关联的供应商而言,可以做到零误报 |
| 耗时 | 高效 |
| 传统SAST工具会非常耗时 | 无论项目大小都可以在对构建没有影响的情况下在数秒内完成检测 |
| 解决自定义代码安全性 | 覆盖所有开源风险 |
| 核心关注点在于组织专有代码的安全性 | 涵盖开源使用管理的所有方面,包括安全性和合规性,使用自动化工作流来简化开发人员的日常任务 |
选择SAST和SCA要注意什么
在完全接受CI/CD和devops方法的现代软件开发管道中,花一天时间进行安全测试,然后再等待几天来修复漏洞是行不通的。因为开发团队每天可能会进行数百次代码更改。为了便于管理,他们需要能够在编写代码时自己进行安全检查,并通过工具授权,这意味着他们不需要把自己一夜之间变成安全领域的专家。
在这种形势下,SAST和SCA工具首先要对开发人员友好,去主动适应开发人员使用的工作流程和工具,而不是强迫开发人员来适应安全工具。DevSecOps工作流程意味着开发人员需要尽最大努力确保代码在编写时是安全的,而不是将安全作为一个单独的后续步骤,这会造成延迟并导致代码在开发和安全团队之间不断地来回传递。
其次,在当今的软件环境中,这两组工具虽然功能不同,但是有一个共同目标,那就是让开发人员成为软件安全的领导者。因此,将这两种工具以某种方式合并、同时运行或在同一工具中提供,可以减少步骤环节、减少学习曲线和复杂性,具有极高的价值。
最后,优秀的测试工具需要基于云并优化代码,以免给开发人员造成延迟。安全工具还要能跟上现代软件开发的敏捷步伐。敏捷已经颠覆了传统的软件工程模式,但是软件的安全性需求不但没有削弱,反而更加紧迫和重要。根据Gartner的2021-2023企业新兴科技路线图,2022年SAST已经进入了部署完成期,而且实施风险较低。这意味SAST已经日趋成熟,而没有“上车”的开发团队需要尽快开始考虑选择适合自己的工具了。
总结
SAST工具可以识别广泛的潜在代码缺陷,它们通常被称为CWE。最常见的CWE是以LIST的形式呈现的,例如OWASP TOP 10和CWE TOP 25。
SCA工具识别的是与开源代码和组件相关的安全风险和许可证合规性风险。
如您所见,其实将SAST和SCA进行比较就像把苹果和梨进行比较一样,它们都可以帮助开发人员确保他们的代码是安全的。然而,每一个不同类型的问题,都是以一种不同的方式解决的。当我们需要解决静态的专有代码问题时,选择SAST;当我们对开源代码和组件抱有怀疑时,用SCA。
每个工具使用不同的技术,处理不同的问题集合。因此最好的办法是与一个能够理解差异并能为两者同时提供解决方案的供应商合作,这是确保你所有安全基石的第一步。德迅云安全的德迅蜂巢同时集成了SAST和SCA能力,同时采用SaaS模式,试用快捷使用成本低,而且CodeAnt核心代码均为自主研发,拥有安全自主知识产权。
2898
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
