2024年春节后,企业正式上班开工了。企业开始规划新的一年该如何运营了。走过了内卷的2023年,2024年企业该何去何从呢?应用安全行业有一个特点,企业基本上都是至少以一款产品为主,代理一些其它公司产品,为企业提供产品+服务形势。通过Gartner预测,2024年人工智能将会在安全行业得到比较深入的应用。那对我们应用安全行业有什么指导和借鉴作用呢?
我最想给的一个建议是:越是内卷和困难时刻,越是要挺住,坚持初心。让你觉得企业生存越来越难时,有些企业可能比你更难。因为网络安全、信息安全、应用安全、数据安全等与安全相关的需求会越来越多,企业也会越来越重视。如果说要调整,那可能是你的方向做一些调整,但是切记不能做大而全,什么都想做,什么都做不好。要做的就是紧跟国家政策,把握好方向。
下面我主要从软件应用方向进行分析。这个方向主要包括:威胁建模、SAST静态分析、SCA软件成分分析、IAST交互式应用安全测试、DAST动态应用安全测试、FUZZing Test模糊测试等几个大类产品。
1、威胁建模产品
威胁建模工具以微软的STRIDE威胁建模为基础,是实现安全左移最“左”的工具之一。虽然只有少数企业采购和使用该款产品,但该产品在安全需求闭环管理方面的优势不可忽视。然而,在落地过程中,威胁建模工具也面临诸多挑战,主要包括:
1. 知识库的完善性和适配性
2. 安全需求导致的开发工作量增加
3. 与现有工具的整合问题
为了更好地满足企业需求,威胁建模工具可以采取以下调整措施:
1. 完善知识库,增加业务场景描述的准确性和完整性
2. 接入AI功能,提高建模结果的准确性和全面性
3. 建模结果要能够被各种应用安全测试工具覆盖,实现安全需求的闭环管理
2、SAST静态应用安全测试产品
SAST产品是通过静态分析技术发现代码中潜在缺陷的工具,是软件应用安全领域应用最早最成熟的工具之一。虽然企业普及率较高,但在实际应用中仍面临一些问题:
1. 检测结果的准确性和修复优先级的划分
2. 合规和安全标准的兼容性
3. 与威胁建模工具的整合
为了满足企业更多的需求,SAST产品可以采取以下调整措施:
1. 提高检测结果的准确性,关注严重级别高、容易被利用的安全漏洞
2. 关注国内外合规标准,确保兼容性
3. 借助AI功能完善检测结果的描述,提供修复代码示例或自动完成修复功能
4. 与威胁建模工具打通,实现安全需求的闭环管理
3、SCA软件成分分析产品
SCA产品在2023年的供应链安全治理中备受关注,其出货量已接近或超过SAST产品。然而,在企业采购过程中存在一些误区和问题:
1. 供应链安全不仅仅涉及开源软件安全,闭源软件同样需要关注安全。
2. 对于SCA检测结果的处理和流程同样重要,这需要开源治理咨询服务提供符合实际需求的策略。
3. 部分企业过于关注直接依赖导致的漏洞,而忽视间接依赖漏洞。
未来,SCA产品仍将保持火爆,企业将继续采购,原因如下:
1. 供应链安全仍是企业关注的重点,开源治理必备SCA产品。
2. 企业可能需要更换或升级现有的SCA产品。
3. 中小企业也受到供应链上游传导的影响,对安全性要求日益提高。
为了满足企业更多的需求,SCA产品研发企业应关注以下方面:
1. 扩大知识库,保证准确性和完整性。
2. 采用同源分析技术,支持更多的开发语言。
3. 及时更新知识库,以确保提供实时保障。
4. 提供SBOM软件物料清单,以支持企业管理和监控。
4、IAST交互式应用安全产品
IAST产品在国内仅有少数企业进行研发。虽然在过去我对于IAST产品的发展持保留态度,但认识到它在安全测试部分的优势。尽管在实践中存在一些问题:
1. 接入难度大,需要厂商的支持和参与。
2. 测试结果难以理解,影响工作效率。
3. 安全漏洞覆盖范围有限,需要与DAST补充。
未来,大企业更倾向于采购IAST产品,而中小型企业可能选择SAST和DAST产品。为了满足企业需求,IAST产品研发企业应:
1. 研究大企业对产品的需求,重点关注流程自动化和平台化。
2. 提高产品的适配性和兼容性,减少人工干预。
3. 简化测试结果,提升易读性,以提高工作效率。
4. 与SAST和DAST产品进行对接,实现安全需求的闭环管理。
5、DAST动态应用安全测试产品
DAST产品在国内的生产厂商相对较少,我认为这主要是由于国外DAST类工具较为普遍,大多数工具都可以下载并使用。由于使用这类工具需要具备安全技术的人员来进行扫描和漏洞挖掘,因此大多数企业并不过多关注使用何种工具。此外,要想实现功能全面也并不容易,因为除了被测试的软件系统外,还需要考虑系统部署的软硬件环境。
在应用安全提出之前,DAST产品在传统信息安全领域得到了广泛应用,主要依赖于安全技术人员的使用。鉴于国内生产厂商较少,这里就不再赘述。
6、FUZZING Test产品
国内模糊测试主要由少数厂商提供,相对其他产品产商较少。尽管模糊测试的技术成熟度有限,但在针对通讯协议的模糊测试方面相对较成熟。当前,产品成熟度较低,仍需要技术人员辅助生成测试用例,并在测试覆盖率和漏洞发现方面有提升空间。
部分安全风险敏感的企业采购了模糊测试产品,但在使用过程中也遇到了一些问题:
1. FUZZING Test工具自动化程度需要提升,减少人工工作量。
2. 对工具使用人员有较高要求,需要了解代码、安全漏洞和测试。
3. 发现的漏洞或缺陷需要技术人员验证和确认,考虑在实际生产中的触发条件。
对于FUZZING Test产品厂商来说,应关注以下方面:
1. 企业对FUZZING Test产品期望很高,但现实与期望之间存在差距,需要提供故事和案例支持。
2. FUZZING Test产品的技术门槛较高,需要专业人才进行研发,因此人才匮乏可能是主要挑战。
3. FUZZING Test产品应避免仅局限于单元测试工具,而应提供更广泛的功能,以满足企业需求。
综上所述,对于FUZZING Test产品,关键在于避免将其定位于单纯的单元测试工具。当然,如果它能够实现单元测试所需的各种功能,那也是极好的。然而,如何准确定位和宣传您的工具呢?FUZZING Test在未来的市场前景应该是乐观的。国内操作系统、数据库、中间件以及各种信创软件的兴起,使得减少潜在缺陷和安全漏洞变得至关重要。这些企业更加注重合规和安全,并且拥有更多的经费用于安全方面的投入,因此对于FUZZING Test等安全工具的需求会持续增长。
新的一年伊始,我对前景持谨慎乐观态度。这些总结是基于我个人的经验,可能并不完全准确。如果不小心冒犯到了任何生产商,还请您反馈给我,我会进行相应调整。我真诚地希望在2024年,各位生产商都能够将产品和服务做得更好。在市场的卷涌浪涛中,企业依然需要坚持初心,努力生存和发展。只要坚持初心,收获定会丰厚。
(结束)