摘要：是一個(gè)有趣的實(shí)例，他們使用的是自動(dòng)化技術(shù)，同時(shí)結(jié)合了自動(dòng)化工作流程進(jìn)行人工檢查，從而保證零誤報(bào)率，且業(yè)務(wù)邏輯測試達(dá)到的類覆蓋率。

而今，大多數(shù)應(yīng)用都依賴于像入侵防護(hù)系統(tǒng)（Instrusion Prevention System）和 Web 應(yīng)用防火墻（Web Application Firewall，以下全文簡稱 WAF）這樣的外部防護(hù)。然而，許多這類安全功能都可以內(nèi)置到應(yīng)用程序中，實(shí)現(xiàn)應(yīng)用程序運(yùn)行的自我保護(hù)。

實(shí)時(shí)應(yīng)用自我保護(hù)（以下全文簡稱 RASP），是一個(gè)應(yīng)用程序運(yùn)行時(shí)環(huán)境的組成部分，它可以實(shí)現(xiàn)為 Java 調(diào)試界面的擴(kuò)展。RASP 可以檢測到應(yīng)用程序在運(yùn)行時(shí)試圖往內(nèi)存中寫入大量數(shù)據(jù)的行為，或者是否存在未經(jīng)授權(quán)的數(shù)據(jù)庫訪問。同時(shí)，它具有實(shí)時(shí)終止會(huì)話、和發(fā)出告警等功能。WAF 和 RASP 的合作相輔相成，WAF 可以檢測到潛在的攻擊，而 RASP 可以通過研究應(yīng)用內(nèi)部的實(shí)際響應(yīng)數(shù)據(jù)來驗(yàn)證潛在的攻擊是否具有威脅性。

毋庸置疑，內(nèi)置于應(yīng)用程序的RASP，比那些只能獲取 App 有限的內(nèi)部進(jìn)程信息的外接設(shè)備更加強(qiáng)大。

說到協(xié)同安全智能，筆者認(rèn)為協(xié)同安全的意義是不同應(yīng)用安全技術(shù)間的協(xié)作或集成。

動(dòng)態(tài)應(yīng)用程序安全測試（以下全文簡稱 DAST） + 靜態(tài)應(yīng)用程序安全測試（以下全文簡稱 SAST）：DAST 不需要訪問代碼并且易于實(shí)現(xiàn)。另一方面，SAST 需要訪問代碼，但是對(duì)應(yīng)用程序的內(nèi)部邏輯了解更為深入。這兩種測試技術(shù)各有利弊，但是兩種測試結(jié)果的關(guān)聯(lián)和結(jié)合，能極大提高安全測試的價(jià)值：即他們不僅可以降低誤報(bào)率，也可以發(fā)現(xiàn)更多安全漏洞，從而提高測試效率。

SAST + DAST + WAF（即靜態(tài) + 動(dòng)態(tài)應(yīng)用程序安全測試 + Web 應(yīng)用防火墻）：這個(gè)組合可以把 SAST 或 DAST 技術(shù)檢測到的安全漏洞提供給 WAF 作為輸入信息。這些漏洞信息可以用來創(chuàng)建特定的規(guī)則集，從而 WAF 甚至可以在修復(fù)方案實(shí)施之前制止漏洞帶來的攻擊。

SAST + DAST + SIM / SIEM（安全事故管理/安全事故事件管理，以下全文對(duì)應(yīng)簡稱 SIM 或 SIEM）：通過 SAST 或 DAST 檢測到的漏洞信息對(duì)于 SIM 或 SIEM 的關(guān)聯(lián)引擎是非常有價(jià)值的。這些漏洞信息可以提供更加準(zhǔn)確的漏洞關(guān)聯(lián)信息和攻擊監(jiān)測。

WAF + RASP（即 Web 應(yīng)用防火墻 + 實(shí)時(shí)應(yīng)用自我保護(hù)）：WAF 和 RASP 的作用是互補(bǔ)的。WAF 提供的信息可由 RASP 驗(yàn)證，從而幫助提供更精確的偵測信息，并預(yù)防攻擊。

「大一統(tǒng)」：最后終有一天，以上提及的所有檢測手段，甚至更多手段，都可以組合在一起供企業(yè)使用，實(shí)現(xiàn)「真·安全智能體系」。

筆者認(rèn)為，這里「混合」的意思是用一種結(jié)合自動(dòng)和人工測試的方式「超越安全顧問們可以做到的極限」，以此實(shí)現(xiàn)更高的擴(kuò)展性、更準(zhǔn)確的可預(yù)測性和更高的成本效益。

DAST 和 SAST，兩者都有自身的局限性。其中，兩個(gè)主要的問題是誤報(bào)率和業(yè)務(wù)邏輯測試。網(wǎng)絡(luò)測試只需在一段已知的代碼中發(fā)現(xiàn)已知的漏洞，然而和網(wǎng)絡(luò)測試不同的是，應(yīng)用程序測試面對(duì)的是未知代碼。這使得漏洞偵測模式變得非常不同，更加難以實(shí)現(xiàn)自動(dòng)化測試。所以，你只好從安全咨詢?nèi)藛T或內(nèi)部安全專家處獲得最好的解決方案。然而，這種模式不具備可擴(kuò)展性。比如，世界上有超過十億個(gè)應(yīng)用程序等待測試，在這種情況下，地球上并沒有足夠多的專家進(jìn)行測試。

其實(shí)，這不是一個(gè)關(guān)于「人類 vs. 機(jī)器」的問題，而是關(guān)于「人類和機(jī)器」的問題。未來的趨勢是自動(dòng)化和人工驗(yàn)證的智慧結(jié)合。iViZ 是一個(gè)有趣的實(shí)例，他們使用的是自動(dòng)化技術(shù)，同時(shí)結(jié)合了「自動(dòng)化工作流程」進(jìn)行人工檢查，從而保證零誤報(bào)率，且業(yè)務(wù)邏輯測試達(dá)到 100% 的WASC 類覆蓋率。事實(shí)上，iViZ 收費(fèi)固定，并且提供無限制的應(yīng)用程序安全測試服務(wù)，而其邊際利率高于市面上其他 SaaS 企業(yè)的平均水平。

筆者相信「服務(wù)化 -aaS」模型的理由很簡單：我們之所以需要技術(shù)并不是為了技術(shù)，而是為了解決問題。換句話說，我們需要的是解決方案和服務(wù)。隨著人們?cè)絹碓阶⒅亍负诵母偁幜Α?，大家感到獲取服務(wù)比購買產(chǎn)品更有意義，「幫你搞定」比「你自己動(dòng)手」更有意義（當(dāng)然，也會(huì)有些例外）。

現(xiàn)在我們有 SASTaas、DASTaaS 和 WAFaaS。幾乎所有事情都可以服務(wù)化。事實(shí)上，Gartner 已經(jīng)為「應(yīng)用程序安全即服務(wù)」創(chuàng)建了多帶帶的技術(shù)成熟度曲線。

應(yīng)用程序安全作為服務(wù)有許多好處：降低固定運(yùn)營成本，幫助專注于核心競爭力，解決人才獲取和留存的問題，降低運(yùn)營管理費(fèi)用等更多的益處。

現(xiàn)在，是時(shí)候考慮安全產(chǎn)品開發(fā)生命周期以后的問題了。曾幾何時(shí)，我們看到許多力量都在推動(dòng)安全和軟件開發(fā)生命周期的結(jié)合，筆者相信，這個(gè)行業(yè)已經(jīng)取得了一些不錯(cuò)的進(jìn)展。未來的趨勢仍是這樣，但是是從結(jié)合「安全 + 開發(fā) + 運(yùn)維」的角度去做。設(shè)計(jì)、開發(fā)、測試直到生產(chǎn)、管理、維護(hù)和運(yùn)維，這一整條線索，應(yīng)該無縫地與重中之重——即安全，密切結(jié)合?，F(xiàn)今，開發(fā)與運(yùn)維之間仍有一條「安全之路」要走，然而這條「路」將隨安全生命周期的日趨集成化而漸漸模糊。

原文地址：http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss

如今，多樣化的攻擊手段層出不窮，傳統(tǒng)安全解決方案越來越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)，使其免受漏洞所累。想閱讀更多技術(shù)文章，請(qǐng)?jiān)L問 OneAPM 官方技術(shù)博客。
本文轉(zhuǎn)自 OneAPM 官方博客