已完本玄幻小说排行榜,择天记

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

2023現(xiàn)代應用安全預測

在古丈等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務理念，為客戶提供做網(wǎng)站、成都網(wǎng)站建設(shè) 網(wǎng)站設(shè)計制作按需網(wǎng)站制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),全網(wǎng)營銷推廣,成都外貿(mào)網(wǎng)站建設(shè),古丈網(wǎng)站建設(shè)費用合理。

如今，軟件主宰著世界，但仍然是一個巨大的、可訪問的攻擊面。2022年，估計有60億美元投資于應用安全，預計到2023年，這一數(shù)字將達到75億美元。在應用安全內(nèi)部，軟件供應鏈安全兩年前就開始受到關(guān)注，這是應用安全增長最快的攻擊類別，經(jīng)常發(fā)生重大漏洞和利用事件。

在此背景下，在不久的將來，應用程序安全性將出現(xiàn)一些相關(guān)的大趨勢。首先，在預生產(chǎn)開發(fā)環(huán)境中，開發(fā)管道越來越復雜，并且依賴于第三方。其次，應用程序安全和云安全之間的協(xié)同作用日益增強。這兩個趨勢定義了未來的安全挑戰(zhàn)和我們對現(xiàn)代應用程序安全的預測。

1.云安全與應用安全將開始融合

在云中運行的應用程序的安全狀態(tài)主要由云配置和應用程序代碼決定。多年來，云安全和應用程序安全作為獨立的安全問題運行。然而，把它們放在一起看的好處正變得越來越明顯:

（1）統(tǒng)一態(tài)勢:應用程序風險是云和應用程序安全態(tài)勢的結(jié)合。例如，應用程序代碼漏洞和承載應用程序的云服務的錯誤配置都是確定攻擊面的基礎(chǔ)。它們是不可分割的，應該一起分析和優(yōu)先排序。

（2）場景:漏洞修復的優(yōu)先級由云和應用程序場景驅(qū)動。例如，由面向互聯(lián)網(wǎng)的服務暴露的代碼中的漏洞可能比內(nèi)部服務中不可訪問的代碼漏洞更需要修復。當您同時擁有應用程序和云場景時，有許多機會了解哪些漏洞對業(yè)務最關(guān)鍵。

（3）補救:有機會將在運行時發(fā)現(xiàn)的漏洞追溯到預生產(chǎn)開發(fā)環(huán)境中的代碼更改和所有者。將整個鏈鏈接在一起——從代碼到云——有助于快速確定問題的根本原因，更有效地修復它，在某些情況下還可以自動修復。

將云安全與應用程序安全結(jié)合在一起是安全觀念的轉(zhuǎn)變。安全解決方案將繼續(xù)融合，這將為組織提供機會，將應用安全和云安全工程師的職責合并，并提高效率和有效性。

2.開源軟件更加安全

如果沒有數(shù)百個(或更多)第三方組件，幾乎不可能發(fā)布軟件。然而，開源生態(tài)系統(tǒng)不斷受到攻擊，人們試圖通過隱藏的代碼插入、排字搶注和其他一些技術(shù)來操縱開源庫和組件。

為了跟上這些持續(xù)不斷的網(wǎng)絡(luò)犯罪創(chuàng)新，新的舉措正在進行中，將額外的安全控制引入開源生態(tài)系統(tǒng)。我們期望看到:

軟件開發(fā)公司對開源驗證的需求增加，包括信譽檢查、真實性檢查和持續(xù)的漏洞掃描。

開源存儲庫(例如NPM)將對上傳的軟件提出更高的安全標準，以加強組織的檢查控制，從代碼簽名開始。

更多第三方將包括軟件材料清單(SBOM)，可以在使用前進行驗證。

軟件安全度量的可用性不斷增加，以及用于在SDLC中和部署之前驗證軟件使用的更通用的工具集將變得更加普遍。

3.代碼工廠攻擊面將繼續(xù)擴大

針對開發(fā)人員、代碼或構(gòu)建系統(tǒng)的攻擊大幅增加(根據(jù)一些來源，每年增長460-660%)，增長是巨大的。最近的事件包括OKTA的源代碼被盜，豐田的漏洞始于一個承包服務通過源代碼暴露敏感機密，大規(guī)模的LastPass漏洞始于一個受侵害的開發(fā)人員，等等。

由于我們構(gòu)建軟件的現(xiàn)代方法:分布式工作人員、多個系統(tǒng)和插件、使用許多訪問密鑰、令牌、機器帳戶和自動化，SDLC作為一個攻擊面繼續(xù)增長。這些都不會很快改變，只是變得更加復雜、異構(gòu)和分布式。

在LegitSecurity，當我們運行價值證明(PoV)項目時，我們會在潛在客戶環(huán)境中直接發(fā)現(xiàn)巨大的多樣性和漏洞范圍。我們發(fā)現(xiàn)和緩解的大多數(shù)安全問題都是由于誠實的錯誤或安全知識的差距造成的。例如，我們不斷發(fā)現(xiàn)流氓構(gòu)建服務器和工件存儲，要么是遺留的，要么是由快速移動的開發(fā)團隊快速生成的，它們是完全開放的，并且包含敏感的源代碼和密碼。

現(xiàn)在的預生產(chǎn)開發(fā)攻擊面太廣、太脆弱、目標太豐富。不幸的是，預測2023年將發(fā)生更多涉及軟件供應鏈漏洞的事件——從惡意篡改到代碼盜竊，再到開發(fā)系統(tǒng)的敏感數(shù)據(jù)泄露等等。

4.安全軟件遵從性和SBOM

在SolarWinds受到攻擊后，美國政府已經(jīng)開始要求供應商包括一份簽署的SBOM，并為安全軟件開發(fā)框架(SSDF)進行審計。2023年，我們預計將看到:

當軟件交付時，對應用安全的需求增長，而不僅僅是針對美國政府消費者。越來越多的買家將要求他們的軟件供應商提供SBOM，越來越多的供應商將提供SBOM供下載。

企業(yè)將尋求在其管道中實現(xiàn)代碼簽名和認證生成，以滿足SSDF的完整性要求。

B2B安全評估將需要更多安全開發(fā)實踐的證據(jù)，并要求安全護欄、控制和自動漏洞掃描的證據(jù)。

5.通過安全問題場景實現(xiàn)更智能的優(yōu)先級

有一個悖論——使用現(xiàn)代開發(fā)堆棧的安全和開發(fā)團隊遭受“漏洞疲勞”。安全問題的數(shù)量是無法忍受的，它們產(chǎn)生的噪音分散了團隊的注意力，減慢了他們試圖分類和/或修復所有問題的速度。例如，當一個普通的容器映像立即產(chǎn)生數(shù)百個漏洞時——實際上，您應該怎么做?

通常情況下，安全團隊面臨著一個不可能的選擇。漏洞掃描器的可用性和功能以及社區(qū)中的安全知識是巨大的(這是一件令人驚訝的事情)——但人們一致認為優(yōu)先級是一場噩夢。“CVSS已死”這個詞最近被廣泛引用。

團隊正在尋找更聰明的方法來確定優(yōu)先級。對更智能的安全態(tài)勢管理的需求不斷增長——這可以通過依賴于應用程序場景的更全面的風險方法來實現(xiàn)。因此，我們看到了“代碼到云”安全方法解決這個問題的一個強有力的例子——能夠理解應用程序的準確解剖結(jié)構(gòu)，并將代碼風險與其運行時(云)特征聯(lián)系起來。這為有意義的優(yōu)先級集中提供了很好的機會。

例如，安全工程師在看到安全問題時可以問自己的第一個問題是——“這個東西是可利用的嗎?”，或者“這是外露的嗎?”，甚至“這段代碼在哪里運行，這是處理敏感數(shù)據(jù)的業(yè)務關(guān)鍵型應用程序的一部分嗎?”將看到更多的團隊和更多的安全解決方案改變他們看待漏洞的方式，以及團隊如何選擇專注于問題并降低其他問題的優(yōu)先級。

6.文化變更:應用程序發(fā)布治理的執(zhí)行需求

應用程序發(fā)布時仍然存在漏洞，這是事實。組織開始意識到問題不在于檢測漏洞的能力，而在于實施安全有效的端到端發(fā)布流程的能力。

現(xiàn)代的方法需要更多的開發(fā)人員參與，包括“安全冠軍”程序，并向左移動以包括更多的自動化安全掃描。在一天結(jié)束的時候，安全和開發(fā)團隊仍然對安全的發(fā)布負責，他們現(xiàn)在面臨著更廣泛的挑戰(zhàn):如何構(gòu)建一個安全的應用程序開發(fā)管道。

這樣做的壓力已經(jīng)開始從上到下。c級對演示保證每個軟件部署安全的有效發(fā)布過程的需求正在增加。我們稱這種需求為“釋放治理”。

安全團隊將尋找方法:

1.定義一個考慮到應用程序場景的整體發(fā)布策略。

2.在管道中構(gòu)建一個補救工作流。

3.對安全的生產(chǎn)前開發(fā)環(huán)境的覆蓋范圍和有效性具有實時可見性，具有跟蹤所有權(quán)、提供風險報告和調(diào)優(yōu)的能力。

我們預測，隨著時間的推移，這種更全面的應用程序安全范式將占據(jù)主導地位。安全團隊將推動更多的自動化和開發(fā)協(xié)作，但安全的新優(yōu)先事項將是獲得過程的可見性和控制，以確保安全的應用程序發(fā)布——強調(diào)跨團隊的報告和問責制。

現(xiàn)代應用程序的未來-從不無聊的時刻

應用程序安全是一場貓捉老鼠的游戲，充斥著快速變化、創(chuàng)新的攻擊和利用，以及不斷發(fā)展的安全解決方案。一些更大的趨勢正在發(fā)生，將永久性地改變這一動態(tài)格局。

應用安全與云安全將更加緊密。第三方軟件的安全性將升級，包括對消費者的信任機制。安全漏洞的處理方式正在發(fā)生更大的轉(zhuǎn)變——首先是利用基于代碼到云可追溯性的場景風險，其次是將重點從分類問題轉(zhuǎn)移到擁有真正的發(fā)布治理。

人們受益于一個運行在軟件上的世界，而軟件的安全性對我們所有人都至關(guān)重要。合法安全平臺在這里幫助迎來這個更安全的未來。這是為了現(xiàn)代應用安全的未來，以確保一個安全可靠的世界。

網(wǎng)頁標題：2023現(xiàn)代應用安全預測
當前網(wǎng)址：http://m.fisionsoft.com.cn/article/ccosddh.html