【产品那些事】什么是应用程序安全态势管理(ASPM)?

已于 2024-08-13 16:54:32 修改
阅读量1.2k 收藏 19
点赞数 30
分类专栏: 产品那些事 甲方安全 文章标签: ASPM 安全产品 安全建设 DevSecOps
于 2024-08-13 16:29:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/140957707
版权

文章目录

前言

随着现代软件开发实践的快速演变,特别是在敏捷开发和 DevOps 的推动下,应用程序安全变得更加复杂和动态,传统的安全措施往往难以跟上快速发布和部署的节奏,因此需要一种更综合的方法来管理应用程序的安全态势。
在这里插入图片描述

当前应用安全(AppSec)推进遇到的问题

  • 高昂的维护成本和冗余工作:公司可能采购了多种应用安全扫描工具(如 SCA、SAST、DAST、IAST 等),每个工具会生成大量的漏洞报告。如何区分哪些漏洞具有实际威胁,以及哪些漏洞需要优先处理,成为一大难题。此外,每种工具都可能产生误报,需人工进一步确认,这不仅增加了维护成本,还导致工作效率低下。
  • 难以统一安全标准:各种工具和平台的安全标准难以统一,不同厂商倾向于构建各自的生态系统,这导致企业缺乏一致的安全框架,使得不同团队之间难以协作,增加了管理的复杂性。
  • 工具之间的集成挑战:在企业进行安全建设时,通常希望构建一个“安全中台”系统,统一管理内部的所有安全产品,并通过一个Dashboard大屏向领导层展示安全工作的成果。这种方法在理论上是可行的,但实际操作中,集成各类安全工具成为了一个重大挑战。工程师不仅需要了解整个开发流程和各类安全产品,还要深入理解公司业务,将其与安全工具的集成有效结合。然而,许多所谓的“中台”系统在实现过程中,仅仅是简单地嵌入各类工具,未能实现深度整合,导致工作效果仅仅是1+1=2,缺乏实质性的协同增效。
  • 覆盖不全面和疏漏:安全措施在推进过程中存在疏漏,无法全面覆盖所有应用。
  • 影响产品交付效率:应用安全测试通常在软件开发的不同阶段进行,不同团队间的测试结果传递效率低下,导致项目进展缓慢。安全工作的低效处理可能拖延产品交付时间,无法满足客户的服务水平协议(SLA),从而影响业务的连续性和客户满意度。

关于ASPM的定义

应用程序安全态势管理(ASPM)这一概念是由Gartner在2023年提出的,是一个较新的概念,也是未来应用安全发展的一个趋势。ASPM的出现是为了应对现有的应用安全方法(如应用安全编排与关联(ASOC))在扩展性和应对不断演变的威胁方面的局限性。

Gartner对于ASPM的定义:

Application security posture management (ASPM) tools continuously manage application risk through collection, analysis and prioritization of security issues from across the software life cycle. They ingest data from multiple sources, maintain an inventory of all software within an organization, correlate and analyze findings for easier interpretation, triage and remediation. They enable the enforcement of security policies and facilitate the remediation of security issues while offering a comprehensive view of risk across applications.

作者这里也做了相关总结,可能会容易理解一些:
应用程序安全态势管理(ASPM)是一种工具集和方法,用于在整个软件开发生命周期(从开发到部署)内增强应用程序安全的可见性和管理。ASPM 通过自动化和集成,从多个来源收集和分析安全数据,对安全问题进行优先级排序,简化修复过程。它持续监控应用程序风险,支持执行安全策略,确保应用程序在整个 CI/CD 管道中的安全性和合规性。

为什么需要ASPM:B端客户核心需求

统一的安全管理
核心需求:企业通常使用多种安全工具(如 SCA、SAST、DAST 等)来检测应用程序中的漏洞,但这些工具往往彼此独立,缺乏统一管理。B端客户需要一个平台来整合所有安全工具的输出,提供一致的安全态势视图,以便更高效地管理安全风险。
解决方案:ASPM 通过整合多个安全工具的数据,提供统一的风险视图和管理接口,使得安全团队能够更清晰地理解整体安全态势,从而减少管理的复杂性。

自动化与持续监控
核心需求:手动管理安全检测和漏洞修复不仅耗时,还容易出现人为错误。B端客户希望通过自动化和持续监控,及时发现和修复漏洞,减少安全威胁的暴露时间。
解决方案:ASPM 提供自动化的漏洞检测、优先级排序和修复建议,同时支持持续监控应用程序的安全态势,确保实时识别和应对新出现的威胁。

风险优先级排序
核心需求:在大量的漏洞中,B端客户需要有效的工具来帮助他们识别和优先处理对业务最具威胁的安全问题。这有助于优化资源分配,确保最关键的问题得到及时解决。
解决方案:ASPM 能够根据漏洞的严重性、业务影响等因素自动进行风险优先级排序,帮助企业专注于最关键的安全问题,最大化安全投入的效果。

合规性管理
核心需求:许多 B端客户受到行业法规和合规要求的约束,他们需要确保其应用程序在开发和运行过程中符合这些标准。
解决方案:ASPM 工具能够自动跟踪和报告应用程序的安全合规性状态,帮助企业确保其开发流程和应用程序符合相关法规要求,减少合规风险。

跨团队协作与可见性
核心需求:B端企业通常有多个团队参与应用程序开发、运维和安全管理,缺乏协作和可见性可能导致安全问题被忽视或延误处理。
ASPM 解决方案:ASPM 提供了一个集中管理的界面,使得不同团队能够共享和协作管理安全问题,确保各团队之间的信息流畅,并提高整体安全应对效率。

数据驱动的决策支持
核心需求:企业需要从大量的安全数据中提取有用的信息,以支持战略决策和资源分配。
解决方案:ASPM 提供详细的报告和分析功能,使得企业能够基于数据做出更明智的决策,提高安全管理的效果。

ASPM产品关键策略

可见性与持续评估:提供对软件供应链内组件和依赖关系的详细洞察。可以通过持续监控这些元素来快速识别和解决漏洞、错误配置和合规性问题。这种实时可见性对于保持安全的软件开发环境至关重要,包括在整个应用程序开发和部署阶段进行持续的安全评估
风险管理与优先顺序(重点关注1%的关键风险):可评估与软件供应链安全组件相关的风险并确定其优先级。帮助安全团队专注于最关键的威胁,优化资源分配并增强整体安全态势。
代码合规:通过将合规检查和安全策略直接集成到CI/CD流水线中,实现合规检查和安全策略的自动化执行,确保每个版本都符合监管和安全标准
DevSecOps集成:无缝集成到 DevOps 和 DevSecOps 管道中,促进持续的安全评估和自动化修复流程。这确保了安全检查成为开发工作流程的一个组成部分,最大限度地减少干扰,从而加速安全软件的交付。

理想状态下的ASPM

一体化(All in one)应用程序安全扫描工具,提供扫描和修复应用程序漏洞所需的一切,并且能够跨平台SDLC管道的安全扫描、获取结果并构建修复工作流程

  • 八合一扫描覆盖范围(SDLC、SCA、SAST、IaC、Container Scanning、Secret
    Scanning、DAST、CSPM)
    完整的功能流程(可达性、自动修复、基础景象检测、预提交挂钩)
  • 完整的工作流程构建,提供完全的灵活性以及易于应用的强大预定义工作流程
  • 与其他工具进行集成,并在第三方扫描数据之上提供独特的价值
  • 修复为导向:准确告诉团队要修改哪些代码行、如何修复这些代码、以及应用更改后将修复的漏洞数量

ASPM与CSPM的区别

CSPM(云安全态势管理)专注于云环境的安全管理,旨在帮助企业识别和修复云基础设施中的安全配置问题,确保云环境的合规性和整体安全性。CSPM 通常涵盖 IaaS(基础设施即服务)、PaaS(平台即服务)和 SaaS(软件即服务)环境,重点关注云资源的配置管理、权限控制、网络安全等方面。其核心功能包括自动化检测和修复配置错误、合规性审计、实时监控、访问控制以及日志管理,全面保障云基础设施的安全性。
ASPM 主要用于管理和保护应用程序及其运行环境的安全。这些应用程序可以运行在本地服务器上、虚拟机中,或基于容器和微服务架构。ASPM 工具通常与 DevSecOps 管道集成,覆盖从代码编写到生产环境的整个应用生命周期。

国内外产品

国外产品
Aikido Security、APPCHECK、SonarQube、Apiiro、ArmorCode、Cycode、OX Security、Phoenix Security、Bionic、Boman.ai、Dazz、Kodem Security、Kondukto、Legit Security、Oxeye、Snyk Apprisk、Strobes
每家产品都有自己的定位:Oxeye 和Apiiro擅长运行时上下文,Arnica 擅长工作流程和用户上下文,Cycode 擅长流水线pipeline, Legit Security擅长 SDLC 覆盖。
国内产品
基调听云、比瓴科技(好像只有这两家🤔️)
具体调研放在下一篇文章中……

参考

https://www.gartner.com/reviews/market/application-security-posture-management-aspm-tools
https://www.synopsys.com/glossary/what-is-application-security-posture-management.html
https://xygeni.io/blog/how-can-application-security-posture-management-aspm-enhance-software-supply-chain-security/

今天是 几号
关注
专栏目录
ASPM——网络安全的下一个热点
Y525698136的博客
04-14 306
数字化时代,应用程序是每个企业的重要工具。然而随着攻击者的技术和策略日趋复杂,应用程序也频繁的遭受网络攻击。
比瓴科技入围软件供应链安全赛道!为关键信息基础设施安全建设注入新动力
2301_79004341的博客
02-02 758
瓴镜SCA系统支撑检测评估业务场景,通过智能化数据收集引擎在全球范围内获取开源软件信息及其相关漏洞信息,利用自主研发的开源软件分析引擎为企业提供开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能,帮助用户掌握开源软件资产信息,及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,保障企业交付更安全的软件。以应用为核心打通数据孤岛,汇聚安全数据,形成各应用安全视图,从软件资产(代码、组件、微服务等)、风险等维度来综合展示应用安全风险态势。统一应用安全风险视图。
什么是应用安全态势管理 (ASPM):综合指南
网络研究观
07-02 1761
我们需要一种新的应用程序安全方法,而ASPM在该方法中发挥着关键作用。
安全】网络安全态势感知
weixin_44211968的博客
09-07 1万+
本文还介绍了网络安全态势感知~
PCIe功耗控制--ASPM
maxwell2ic的博客
01-10 2万+
上一节PCIe功耗控制–Legacy PCI Compatible PM 讲了软件参与的功耗控制(OSPM),本次讲PCIe引入的硬件自动功耗控制。 ASPM Active State Power Management (ASPM)是只有在D0下才可以实施的硬件自动功耗控制,其进出过程都是由硬件自动触发,软件只能使能或关闭该功能,而无法介入控制过程。ASPM定义了2个低功耗状态 L0s (standby state) — This state provide substantial power savin
ASPM介绍
fell_sky的博客
01-12 1万+
aspm是pcie的一种省电模式。涉及到的寄存器主要是pci配置空间的如下3个寄存器。 (以下已usb 3.0 控制器的pci配置空间为例子: 其中: link capabilities register [11:10]是活动状态链路的PM支持位。 [11:10] = 00保留。[11:10]=01表示支持L0s。[11:10]=10又保留了。[11:10]=11表示同时支持L0s和L1。设备也使用[14:12]和[17:15]来指示L0s和L1的退出延迟。 link control regis
PCIe功耗管理(三)ASPM机制
muyiwushui的博客
04-13 9200
通常情况下,处于D0状态的设备会保持其Upstream链路处于L0状态;而ASPM为D0状态定义了一种协议,可以将链路置于低功耗状态,同时指示另一端同样及那个第功耗。ASPM可以动态降低链路功耗,实现比只有软件控制更细致的电源管理。 相关寄存器 Link Control Register寄存器: 寄存器域 描述 Active State Power Management (ASPM) Control 00b:关闭ASP...
Gartner发布2023年应用安全技术成熟度曲线
07-28
为了解决这些问题,创新技术如应用安全态势管理ASPM)应运而生。ASPM帮助组织全面了解其应用安全状态,提供持续监控和改进的手段。 2. **新兴技术与自动化** 人工智能(AI)和自动化在应用安全领域展现出巨大的...
2024 黑帽大会最热门的九大 AI 网络安全工具 干货
最新发布
leyang0910的博客
08-15 48
在2024年的黑帽大会(Black Hat 2024)上,AI驱动的网络安全工具和技术成为焦点,引领了网络安全行业新趋势。众多安全厂商和初创公司展示了他们的最新成果,利用生成式AI来管理风险、检测并对抗网络犯罪,保障企业安全
信息系统项目管理
mingming20547的博客
08-19 5959
信息系统项目管理师考试 32 小时通关 第一小时 信息化和信息系统 香农是信息化的奠基者,维纳是控制论的创始人,图灵是计算机科学之父、人工智能之父,冯• 诺依曼是计算机之父。 香农用概率来定量描述信息的公式如下,其中,H(X)表示 X 的信息熵,pi 是件出现第 i 种状态的概率,在 2 进制的情况下,对数的底是 2,此是信息熵可以作为信息的度量,称为信息量,单位是比特 (bit)。 信息的质量...
android studio 跳转后保留原页面数据_这些技巧和习惯,让你的原生 Android 手机更好用(上篇)...
weixin_39775428的博客
10-29 1023
从此前的 EMUI 9 到尚未正式推出的 ColorOS 6,硬件上难以突破技术限制的国产 Android 手机厂商,近来都开始在软件体验,即定制安卓 ROM 上大做文章。国内长久以来糟糕的安卓生态体验,似乎也第一次有了「向好」的态势。在这个大环境下,很多人眼中除了简洁流畅以外乏善可陈的原生 Android 又还有哪些值得借鉴的地方呢?在这篇文章中,我将从一个原生 Android 用户的角度出发,...
主板aspm关闭_主板ASpm功能是什么模式
weixin_28884205的博客
01-14 1万+
展开全部活动状态电源管理(ASPM Active State Power Management)。VISTA系统上支持e68a843231313335323631343130323136353331333365656561的一种电源链接管理方案,尝试在设备(PCI Express)空闲时采用节电模式。具体模式分为:L0s、L1、L2。一、L0s/L1级电源状态管理通过将链路置于电气空闲(E-IDL...
【86】ASPM进入和退出L1
linjiasen的博客
04-24 8412
1、ASPM介绍 ASPM全称Active State Power Management,是针对Power Management的一种管理机制。所谓“Active State”就是设备在D0状态下进入低功耗模式的管理机制。ASPM是硬件行为,软件只能写function配置空间Link Control Register的ASPM Control比特来disable和允许进入某种L state。 PCI-PM是软件写function的配置空间的Power Management Co...
ASPM连接状态电源管理
MICO的博客
04-08 1104
Active State Power Management 活动状态电源管理, 让PCIE总线不活动时保持在低功耗状态,一般保持开启。
【PCIE体系结构十六】PCIE电源管理ASPM
highman110的博客
08-11 4454
简述PCIE ASPM功能和相关状态
一文轻松使能Linux PCIe的ASPM
1042484520@qq.com(邮箱)
06-24 1316
PCIe ASPM
Windows系统电源管理——PCI Express链接状态电源管理
热门推荐
Hern(宋兆恒)
02-22 2万+
前言 PCIE设备并不局限于常见的显卡,很多人存在的误区,其实现在芯片组把硬盘、网卡、声卡、显卡、采集卡之类的都归属于PCIE总线。 注意:英特尔快速存储技术中的链接电源管理 (LPM) 是一项节能技术;它能帮助 SATA 设备节省能耗。与设备的 SATA 链接在没有 I/O 活动或设备不存在或不使用的闲置时段内被设为低能耗。LPM 在需要工作而在链接上有 I/O 请求队列时自动将 SATA...
PM二次开发全变量详解:关键程序与应用
"这是一份关于PM二次开发的程序单变量集合,包含了多个与机械加工相关的变量,适用于NC程序的编写和定制。资料全面,包括但不限于工具路径、公差、厚度、项目信息、刀具参数等。随着下载量的增加,提供者可能还会有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值