管理软件供应链中网络安全工具蔓延的三种方法

news2024/12/24 8:11:29

软件开发组织不断发展,团队成长,项目数量增加。技术堆栈发生变化,技术和管理决策变得更加分散。

在这一演变过程中,该组织的 AppSec 工具组合也在不断增长。在动态组织中,这可能会导致“工具蔓延”。庞大的 AppSec 工具组合包括许多单点解决方案,由不同的团队在不同的时间获取,以服务于不同的(或者在不知不觉中重叠的)目的。

庞大的工具导致数据孤岛具有不同的术语、分配规则和解决方案。这种情况会导致 IT 预算浪费,更糟糕的是,集成、确定优先级和解决威胁可能会非常耗时。

如果您的 AppSec 工具非常庞大,并且您觉得它已经超出了您有效管理它的能力,那么值得投入时间和精力来控制它。这样做将帮助您:

■ 获得从第一行代码到生产的软件供应链的完整可见性和端到端可追溯性。
■ 查看安全工具中存在差距或重叠的地方。
■ 通过消除不能产生增量价值的工具来节省资金。
■ 让安全成为开发过程中不可或缺的一部分,而不是事后才想到的。
■ 通过自动分类和优先级提高安全警报的信噪比。
■ 减少手动工作并自动执行保护操作,所有这些都在一个位置进行。

OX 的 Active ASPM 平台通过以下三种方式帮助您控制 AppSec 工具的蔓延,以便您可以最大限度地提高工具投资的保护、生产力和投资回报率:

1.集成安全警报以消除孤岛

要控制工具蔓延,您首先要解决的问题之一是缺乏可见性。这就是为什么您希望将工具中的警报集成到一个集中的位置。获得对安全问题的集中可见性可以使安全开发更快、更有效:

■ 提高信噪比;让开发人员专注于重要的问题。
■ 在开发过程中尽早发现安全问题。
■ 减少引发冗余或不合时宜的安全问题。
■ 避免因过度优先考虑卫生问题而延迟发布,
■ 查看跨工具的相关问题,表明存在真正的攻击杀伤链。

建造与购买

将 AppSec 工具中的安全问题集成到中央仪表板中是一个好主意。我们看到公司尝试在内部构建这些,但成功率很低。集成如此多的系统既昂贵又耗时。集中查看软件供应链安全问题的更快且更具成本效益的途径是通过交钥匙系统。寻找一个能够在一个易于查看的界面中为您提供所需所有信息的提供商。

以平台为例,正如您在上面的 OX 仪表板中看到的那样,聚合并显示了来自多个软件项目的多个工具的数千个问题。无论您是构建还是购买,拥有这种可见性都至关重要。这是下一步管理软件供应链中安全工具的先决条件。

2.自动进行问题分类、预防和解决

软件供应链中的工具发出数千个警报的情况并不罕见。它是如此嘈杂,以至于开发人员经常忽略警报。自动化可以通过提高警报信噪比以及自动升级和解决来解决优先级问题,从而实现更快、更安全的软件交付。 

为了让您了解可能性,让我们以 OX Security 为例,看看自动化如何在最大限度地减少环境噪音方面发挥重要作用…… 

自动进行问题分类和优先级排序

每次您创建新的构建时,OX 都会为该构建生成一个知识图,该知识图聚合了管道中的所有不同安全问题。OX 可以删除重复的问题,并根据潜在的业务影响对它们进行优先级排序。如下图所示,数千个原始警报集中到了几百个需要最紧急关注的警报:

优先风险和错误配置由 OX 组织,使用开源框架 OSC&R 作为上下文(稍后将详细介绍 OSC&R)。这使得每个人都更清楚问题的严重性和责任感。这种清晰度有助于在开发过程的早期消除严重的安全问题,并确保出于安全原因阻止发布的决策得到充分合理化并被团队理解。

自动解决和预防问题

安全工具蔓延的其他问题之一是问题的分配和解决不一致。像 OX 这样的平台可以通过自动化修复和工作流程来解决这个问题,还可以提供建议和解释来培训和授权您的团队: 

在编码和配置任务期间利用这种智能也很重要,而不仅仅是在构建过程之后被动地利用这种智能。寻找一个集成到开发人员的 IDE、CI/CD 和其他开发人员工具中的平台,以主动预防问题。这样做可以简化您的安全开发流程: 

3.使用 OSC&R 框架合理化您的工具组合

最后,您需要确保您使用的框架能够明确您需要保护的内容以及需要关注的威胁。如果您的整个软件供应链都有此功能,则可以将现有工具映射到其中,从而揭示风险覆盖范围中的重叠和差距。

好消息是这个框架已经存在。开放软件供应链攻击参考 ( OSC&R ) 是一项行业标准。它对软件供应链的作用就像Mitre ATT&CK对端点安全的作用一样。如下所示,OSC&R 记录了软件供应链各个部分可能的攻击点和机制: 

借助 OSC&R,您可以将 AppSec 工具映射到威胁,并就获取、保留或终止哪些工具做出更明智的决策。OX Security通过扫描您的环境和管道(从云到代码)来自动执行此操作。

扫描时,OX 会自动识别您正在使用哪些工具,以及是否应部署其他工具以最大限度地扩大覆盖范围。您现在应该拥有一个涵盖您的软件供应链的 AppSec 工具组合,没有间隙或重叠。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1382041.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

设计模式 代理模式(静态代理 动态代理) 与 Spring Aop源码分析 具体是如何创建Aop代理的

代理模式 代理模式是一种结构型设计模式,它通过创建一个代理对象来控制对真实对象的访问。这种模式可以用于提供额外的功能操作,或者扩展目标对象的功能。 在代理模式中,代理对象与真实对象实现相同的接口,以便在任何地方都可以使…

爬虫补环境jsdom、proxy、Selenium案例:某条

声明: 该文章为学习使用,严禁用于商业用途和非法用途,违者后果自负,由此产生的一切后果均与作者无关 一、简介 爬虫逆向补环境的目的是为了模拟正常用户的行为,使爬虫看起来更像是一个真实的用户在浏览网站。这样可以…

OceanBase 4.2特性解读:Show Trace全链路跟踪,助力快速问题定位与精准诊断

在分布式数据库环境下,慢 SQL 诊断是运维人员面临的一大挑战。在无法及时发现问题根本原因的情况下,可能会严重影响用户体验,甚至会导致业务服务不可用。相对于单机数据库,分布式数据库系统涉及多个节点、多组件的协同工作&#x…

Python之jieba分词相关介绍

1.jieba分词的安装 直接在cmd窗口当中pip install即可 2.jieba分词的介绍 jieba分词是目前比较好的中文分词组件之一,jieba分词支持三种模式的分词(精确模式、全模式、搜索引擎模式),并且支持自定义词典(这一点在特定的领域很重要,有时候…

【计算机网络】内容整理

概述 分组交换 分组交换则采用存储转发(整个包必须到达路由器,然后才能在下一个链路上传输)技术。 在发送端,先把较长的报文划分成较短的、固定长度的数据段。 电路交换 在端系统间通信会话期间,预留了端系统间沿路径通信所需…

开源云原生安全的现状

近年来,人们非常重视软件供应链的安全。尤其令人担忧的是开源软件发行版中固有的风险越来越多。这引发了围绕云原生开源安全的大量开发,其形式包括软件物料清单 (SBOM)、旨在验证 OSS 包来源的项目等。 许多组织循环使用大型开源包,但只使用…

第 3 场 小白入门赛(1~6) + 第 3 场 强者挑战赛 (1 ~ 5)

第 3 场 小白入门赛 1、厉不厉害你坤哥(暴力) 2、思维 3、暴力,前缀和,贪心 4、二分 5、DP 6、容斥,双指针 第 3 场 强者挑战赛 2、BFS 5、树上倍增求第k祖先 1. 召唤神坤 题意: 可以发现,如果我…

2023 IoTDB Summit:天谋科技高级开发工程师苏宇荣《汇其流:如何用 IoTDB 流处理框架玩转端边云融合》...

12 月 3 日,2023 IoTDB 用户大会在北京成功举行,收获强烈反响。本次峰会汇集了超 20 位大咖嘉宾带来工业互联网行业、技术、应用方向的精彩议题,多位学术泰斗、企业代表、开发者,深度分享了工业物联网时序数据库 IoTDB 的技术创新…

Git相关3 —— 命令及添加Gitee的公钥

1.Git相关命令1 -- 工作目录、暂存区、本地仓库、 使用平台有:cmd、Git bash、VSCode window系统修改VSCode默认终端为git bash git init 初始化 --- 新增.git 文件夹 git status 查看 文件/文件夹 状态 git add 需要追踪的文件名/文件夹名 提交到暂存区 git add…

【JavaSE语法】图书管理系统实现详解

图片出处:The worlds biggest drone photo and video sharing platform | SkyPixel.com 导言 在学完JavaSE语法后,我们就可以去尝试写一个简单的图书管理系统来进一步提升我们面对对象编程的思想。在该系统中会涉及到数组,接口,封…

OceanBase架构概览

了解一个系统或软件,比较好的一种方式是了解其架构,下图是官网上的架构图,基于V 4.2.1版本 OceanBase 使用通用服务器硬件,依赖本地存储,分布式部署在多个服务器上,每个服务器都是对等的,数据库…

YOLOv8改进 | 注意力篇 | 实现级联群体注意力机制CGAttention (全网首发)

一、本文介绍 本文给大家带来的改进机制是实现级联群体注意力机制CascadedGroupAttention,其主要思想为增强输入到注意力头的特征的多样性。与以前的自注意力不同,它为每个头提供不同的输入分割,并跨头级联输出特征。这种方法不仅减少了多头注意力中的计算冗余,而且通过增…

【国内访问github不稳定】可以尝试fastgithub解决这个问题

1、下载 https://github.com/dotnetcore/FastGithub https://github.com/dotnetcore/FastGithub/releases 官网下载即可,比如,我用的是这个:fastgithub_osx-x64.zip(点这里下载) 2、安装 如下图双击启动即可 3、…

【SSM框架】SpringMVC

SpringMVC简介 SpringMVC概述 SpringMvC是一种基于Java实现MVC模型的轻量级web框架 SpringMVC技术与Servlet技术功能等同&#xff0c;用于表现层功能开发 SpringMVC入门 1、导入坐标 <dependency><groupId>javax.servlet</groupId><artifactId>ja…

Docker安装Odoo17

Docker安装Odoo 前言所需环境安装步骤登录Odoo 配置数据库 前言 Odoo是一个开源的ERP框架&#xff0c;它提供了一套完整的、可定制的、模块化的企业管理软件解决方案。以下是Odoo的主要特点&#xff1a; 模块化设计&#xff1a;Odoo的各个功能都以模块的形式提供&#xff0c;包…

三端负电源电压调节器79LXX,具有一系列固定电压输出,适用于小于100mA电源供给的场合

79LXX系列三端负电源电压调节器是单片双极型线性集成电路&#xff0c;采用TO92、SOT89-3的封装形式封装&#xff0c;有一系列固定的电压输出&#xff0c;适用于小于100mA电源供给的场合。 主要特点&#xff1a; 最大输出电流为100mA 固定输出电压分别为-5V、-6V、-8V、-9V、-10…

Windows无法登录管理路由器故障排查

问题描述 家里的路由器使用拨号上网&#xff0c;路由器DHCP分发IP的范围是192.168.1.0/24。默认使用192.168.1.1管理路由器。然后拨号上网成功后&#xff0c;修改了私网IP的分发范围&#xff1a;192.168.5.1-192.168.5.10。为了防止有人蹭网&#xff0c;只分配的10个IP地址。修…

html5基础入门

html5基础语法与标签 前言前端开发零基础入门介绍前端开发行业介绍&#xff1a;大前端时代&#xff1a;前端开发主要技术介绍学习方法IDE简介vscode快捷键&#xff1a; 总结 HTML语法与基础标签互联网基本原理HTTP协议&#xff08;请求、响应&#xff09;什么是前端、后端&…

MongoDB认证考试小题库

Free MongoDB C100DBA Exam Actual Questions 关于MongoDB C100 DBA 考试真题知识点零散整理 分片架构 应用程序 --> mongos --> 多个mongod对于应用来说&#xff0c;连接分片集群跟连接一台单机mongod服务器一样分片好处&#xff0c; 增加可用RAM、增加可用磁盘空间、…

C++ 实现游戏(例如MC)键位显示

效果&#xff1a; 是不是有那味儿了&#xff1f; 显示AWSD&#xff0c;空格&#xff0c;Shift和左右键的按键情况以及左右键的CPS。 彩虹色轮廓&#xff0c;黑白填充。具有任务栏图标&#xff0c;可以随时关闭字体是Minecraft AE Pixel&#xff0c;如果你没有装&#xff08;大…