【产品那些事】什么是应用程序安全态势管理(ASPM)?

news2024/12/25 13:00:47

文章目录

  • 前言
    • 当前应用安全(AppSec)推进遇到的问题
    • 关于ASPM的定义
  • 为什么需要ASPM:B端客户核心需求
  • ASPM产品关键策略
  • 理想状态下的ASPM
  • ASPM与CSPM的区别
  • 国内外产品
  • 参考

前言

随着现代软件开发实践的快速演变,特别是在敏捷开发和 DevOps 的推动下,应用程序安全变得更加复杂和动态,传统的安全措施往往难以跟上快速发布和部署的节奏,因此需要一种更综合的方法来管理应用程序的安全态势。
在这里插入图片描述

当前应用安全(AppSec)推进遇到的问题

  • 高昂的维护成本和冗余工作:公司可能采购了多种应用安全扫描工具(如 SCA、SAST、DAST、IAST 等),每个工具会生成大量的漏洞报告。如何区分哪些漏洞具有实际威胁,以及哪些漏洞需要优先处理,成为一大难题。此外,每种工具都可能产生误报,需人工进一步确认,这不仅增加了维护成本,还导致工作效率低下。
  • 难以统一安全标准:各种工具和平台的安全标准难以统一,不同厂商倾向于构建各自的生态系统,这导致企业缺乏一致的安全框架,使得不同团队之间难以协作,增加了管理的复杂性。
  • 工具之间的集成挑战:在企业进行安全建设时,通常希望构建一个“安全中台”系统,统一管理内部的所有安全产品,并通过一个Dashboard大屏向领导层展示安全工作的成果。这种方法在理论上是可行的,但实际操作中,集成各类安全工具成为了一个重大挑战。工程师不仅需要了解整个开发流程和各类安全产品,还要深入理解公司业务,将其与安全工具的集成有效结合。然而,许多所谓的“中台”系统在实现过程中,仅仅是简单地嵌入各类工具,未能实现深度整合,导致工作效果仅仅是1+1=2,缺乏实质性的协同增效。
  • 覆盖不全面和疏漏:安全措施在推进过程中存在疏漏,无法全面覆盖所有应用。
  • 影响产品交付效率:应用安全测试通常在软件开发的不同阶段进行,不同团队间的测试结果传递效率低下,导致项目进展缓慢。安全工作的低效处理可能拖延产品交付时间,无法满足客户的服务水平协议(SLA),从而影响业务的连续性和客户满意度。

关于ASPM的定义

应用程序安全态势管理(ASPM)这一概念是由Gartner在2023年提出的,是一个较新的概念,也是未来应用安全发展的一个趋势。ASPM的出现是为了应对现有的应用安全方法(如应用安全编排与关联(ASOC))在扩展性和应对不断演变的威胁方面的局限性。

Gartner对于ASPM的定义:

Application security posture management (ASPM) tools continuously manage application risk through collection, analysis and prioritization of security issues from across the software life cycle. They ingest data from multiple sources, maintain an inventory of all software within an organization, correlate and analyze findings for easier interpretation, triage and remediation. They enable the enforcement of security policies and facilitate the remediation of security issues while offering a comprehensive view of risk across applications.

作者这里也做了相关总结,可能会容易理解一些:
应用程序安全态势管理(ASPM)是一种工具集和方法,用于在整个软件开发生命周期(从开发到部署)内增强应用程序安全的可见性和管理。ASPM 通过自动化和集成,从多个来源收集和分析安全数据,对安全问题进行优先级排序,简化修复过程。它持续监控应用程序风险,支持执行安全策略,确保应用程序在整个 CI/CD 管道中的安全性和合规性。

为什么需要ASPM:B端客户核心需求

统一的安全管理
核心需求:企业通常使用多种安全工具(如 SCA、SAST、DAST 等)来检测应用程序中的漏洞,但这些工具往往彼此独立,缺乏统一管理。B端客户需要一个平台来整合所有安全工具的输出,提供一致的安全态势视图,以便更高效地管理安全风险。
解决方案:ASPM 通过整合多个安全工具的数据,提供统一的风险视图和管理接口,使得安全团队能够更清晰地理解整体安全态势,从而减少管理的复杂性。

自动化与持续监控
核心需求:手动管理安全检测和漏洞修复不仅耗时,还容易出现人为错误。B端客户希望通过自动化和持续监控,及时发现和修复漏洞,减少安全威胁的暴露时间。
解决方案:ASPM 提供自动化的漏洞检测、优先级排序和修复建议,同时支持持续监控应用程序的安全态势,确保实时识别和应对新出现的威胁。

风险优先级排序
核心需求:在大量的漏洞中,B端客户需要有效的工具来帮助他们识别和优先处理对业务最具威胁的安全问题。这有助于优化资源分配,确保最关键的问题得到及时解决。
解决方案:ASPM 能够根据漏洞的严重性、业务影响等因素自动进行风险优先级排序,帮助企业专注于最关键的安全问题,最大化安全投入的效果。

合规性管理
核心需求:许多 B端客户受到行业法规和合规要求的约束,他们需要确保其应用程序在开发和运行过程中符合这些标准。
解决方案:ASPM 工具能够自动跟踪和报告应用程序的安全合规性状态,帮助企业确保其开发流程和应用程序符合相关法规要求,减少合规风险。

跨团队协作与可见性
核心需求:B端企业通常有多个团队参与应用程序开发、运维和安全管理,缺乏协作和可见性可能导致安全问题被忽视或延误处理。
ASPM 解决方案:ASPM 提供了一个集中管理的界面,使得不同团队能够共享和协作管理安全问题,确保各团队之间的信息流畅,并提高整体安全应对效率。

数据驱动的决策支持
核心需求:企业需要从大量的安全数据中提取有用的信息,以支持战略决策和资源分配。
解决方案:ASPM 提供详细的报告和分析功能,使得企业能够基于数据做出更明智的决策,提高安全管理的效果。

ASPM产品关键策略

可见性与持续评估:提供对软件供应链内组件和依赖关系的详细洞察。可以通过持续监控这些元素来快速识别和解决漏洞、错误配置和合规性问题。这种实时可见性对于保持安全的软件开发环境至关重要,包括在整个应用程序开发和部署阶段进行持续的安全评估
风险管理与优先顺序(重点关注1%的关键风险):可评估与软件供应链安全组件相关的风险并确定其优先级。帮助安全团队专注于最关键的威胁,优化资源分配并增强整体安全态势。
代码合规:通过将合规检查和安全策略直接集成到CI/CD流水线中,实现合规检查和安全策略的自动化执行,确保每个版本都符合监管和安全标准
DevSecOps集成:无缝集成到 DevOps 和 DevSecOps 管道中,促进持续的安全评估和自动化修复流程。这确保了安全检查成为开发工作流程的一个组成部分,最大限度地减少干扰,从而加速安全软件的交付。

理想状态下的ASPM

一体化(All in one)应用程序安全扫描工具,提供扫描和修复应用程序漏洞所需的一切,并且能够跨平台SDLC管道的安全扫描、获取结果并构建修复工作流程

  • 八合一扫描覆盖范围(SDLC、SCA、SAST、IaC、Container Scanning、Secret
    Scanning、DAST、CSPM)
    完整的功能流程(可达性、自动修复、基础景象检测、预提交挂钩)
  • 完整的工作流程构建,提供完全的灵活性以及易于应用的强大预定义工作流程
  • 与其他工具进行集成,并在第三方扫描数据之上提供独特的价值
  • 修复为导向:准确告诉团队要修改哪些代码行、如何修复这些代码、以及应用更改后将修复的漏洞数量

ASPM与CSPM的区别

CSPM(云安全态势管理)专注于云环境的安全管理,旨在帮助企业识别和修复云基础设施中的安全配置问题,确保云环境的合规性和整体安全性。CSPM 通常涵盖 IaaS(基础设施即服务)、PaaS(平台即服务)和 SaaS(软件即服务)环境,重点关注云资源的配置管理、权限控制、网络安全等方面。其核心功能包括自动化检测和修复配置错误、合规性审计、实时监控、访问控制以及日志管理,全面保障云基础设施的安全性。
ASPM 主要用于管理和保护应用程序及其运行环境的安全。这些应用程序可以运行在本地服务器上、虚拟机中,或基于容器和微服务架构。ASPM 工具通常与 DevSecOps 管道集成,覆盖从代码编写到生产环境的整个应用生命周期。

国内外产品

国外产品
Aikido Security、APPCHECK、SonarQube、Apiiro、ArmorCode、Cycode、OX Security、Phoenix Security、Bionic、Boman.ai、Dazz、Kodem Security、Kondukto、Legit Security、Oxeye、Snyk Apprisk、Strobes
每家产品都有自己的定位:Oxeye 和Apiiro擅长运行时上下文,Arnica 擅长工作流程和用户上下文,Cycode 擅长流水线pipeline, Legit Security擅长 SDLC 覆盖。
国内产品
基调听云、比瓴科技(好像只有这两家🤔️)
具体调研放在下一篇文章中……

参考

https://www.gartner.com/reviews/market/application-security-posture-management-aspm-tools
https://www.synopsys.com/glossary/what-is-application-security-posture-management.html
https://xygeni.io/blog/how-can-application-security-posture-management-aspm-enhance-software-supply-chain-security/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2036387.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

与人工智能相比,人类智能里包含有信仰

信仰是人类智能的一个重要方面,它影响我们的意图、动机、决策和行为。 人类智能中信仰是一种独特的因素,影响我们如何看待世界、做决定以及形成价值观。与此相比,人工智能虽然可以处理大量数据并模拟决策过程,但它不具备信仰、情感…

哈尔滨等保测评的政策解读与最佳实践分享

哈尔滨,这座北方城市,在数字化转型的浪潮中,对网络安全的重视程度日益提升。其中,等保测评(等级保护测评)作为信息安全领域的基石政策,正引领企业构建坚不可摧的安全防线。今天,就让…

[Qt][对话框][下]详细讲解

目录 1.Qt内置对话框0.有哪些1.消息对话框 QMessageBox2.颜色对话框 QColorDialog3.⽂件对话框 QFileDialog4.字体对话框 QFontDialog5.输⼊对话框 QInputDialog6.进度条对话框 QProgressDialog 1.Qt内置对话框 0.有哪些 Qt提供了多种可复⽤的对话框类型,即Qt标准…

媒体邀约新闻稿宣发的意义和作用?

传媒如春雨,润物细无声,大家好,我是51媒体网胡老师。 媒体邀约新闻稿的宣发对于企业活动来说具有重要的意义和作用。这不仅能够提升企业的知名度和形象,还能扩大活动的影响力,增加媒体报道的机会,并建立积…

【基础解读】神奇宝贝多分类——Classification:Probabilistic Generative Model

背景 问题定义 尝试用Regression的方法解决Classification 尝试用概率的方式解决Classification 求一个个体被选中并来自于某一类的概率——贝叶斯 进行Classification 结果分析 模型调整——共用convariance matrix 结果分析 总结

Unity动画模块 之 简单创建一个序列帧动画

本文仅作笔记学习和分享,不用做任何商业用途 本文包括但不限于unity官方手册,unity唐老狮等教程知识,如有不足还请斧正​ 1.什么是序列帧动画 序列帧动画简单来讲就是通过连续播放一系列静态图像,形成动态视觉效果的过程&#xff…

Godot《躲避小兵》实战之设置项目

通过之前的学习我们已经基本了解了godot的界面,知道如何创建项目以及节点。那么,从这一章节我们将进入godot官方给我们提供的一个2D游戏开发的小教程进行入手,这个游戏并不是我自己的作品,而是我通过学习完之后,对其进…

Linux-软件管理

文章目录 19. 软件管理19.1 linux软件介绍19.2 RPM包概述19.3 RPM软件包安装19.4 RPM软件包依赖问题19.5 DPKG软件包19.6 linux 软件包前端工具19.7 windows 前端工具winget19.8 linux 前端工具yum概述19.9 设置yum远程仓库19.10 yum 软件包管理19.11 epel软件仓库19.12 yum本地…

机器学习中的距离概念

距离在机器学习中应用广泛,包括欧式距离、曼哈顿距离、内积距离和KL距离。 下面总结一下。 机器学习中的距离 欧式距离曼哈顿距离内积距离KL距离距离作为损失函数(MSE/MAE...)欧式距离与内积距离的联系☆距离的有效性 欧式距离 欧式距离(Euclidean Dis…

数学建模——评价决策类算法Python版(灰色关联分析、主成分分析)

一、灰色关联分析 模型原理 解题步骤 例题 某公司考虑在几个候选城市中开设新的零售店。公司收集了以下数据,包括候选城市的GDP、人口、交通便利程度、商业发展水平等指标。公司希望使用灰色关联分析法来评估这些指标与零售店成功可能性之间的关系,以…

sql注入绕过+rce

目录 1、mysql编码绕过 1.1、环境搭建 1.1.1、源码 1.1.2、数据库 1.1.3、检测环境 1.2、绕过技巧 1.2.1、直接使用admin,查询数据,发现权限被拒绝 1.2.2、加上单引号绕过了,但是查询不到数据 1.2.3、试试其他特殊字符,发…

python循环——九九乘法表(更加轻松的理解循环结构)

感受 首先,得明确意识到这个问题,就是我的循环结构学的一塌糊涂,完全不能很好的使用这个循环来实现各种九九乘法表达输出,这样的循环结构太差了,还需要我自己找时间来补充一下循环的使用,来拓宽自己的思考方…

【开端】Java 分页工具类运用

一、绪论 Java系统中,分页查询的场景随处可见,本节介com.baomidou.mybatisplus.core.metadata.IPage;来分页的工具类 二、分页工具类 public class PageUtils implements Serializable { private static final long serialVersionUID 1L; /**…

服务器安装哪吒面板详细教程

本文长期更新地址: 服务器安装哪吒面板详细教程-星零岁的博客https://blog.0xwl.com/13568.html 注:本文中部分内容源自网络,第四步中部分来自本人曾经文章:云服务器安装配置宝塔面板并安装基础运行环境教程-星零岁的博客 今天来讲…

Dubbo 快速掌握 这篇就够了

1. Dubbo概述 Dubbo 是一款高性能、轻量级的开源Java RPC框架,由阿里巴巴公司开发并在2011年开源。它主要用于解决分布式系统中服务之间的通信问题,支持多种协议,如Dubbo、HTTP、Hessian等,具有服务注册、服务发现、负载均衡、故…

基于大语言模型抽取文本中的实体和关系

在基于大语言模型图数据库存储中,要从文本中提取实体,实体属性和关系。 实体关系抽取是从文本中的句子里抽取出一对实体并给出实体间关系的任务。 该任务的输入是一句话,输出是一个spo三元组(subject-predicate-object&#xff…

【数据结构】TreeMap和TreeSet

目录 前言TreeMap实现的接口内部类常用方法 TreeSet实现的接口常用方法 前言 Map和set是一种专门用来进行搜索的容器或者数据结构,其搜索的效率与其具体的实例化子类有关。 一般把搜索的数据称为关键字(Key), 和关键字对应的称为…

【C#】知识汇总

目录 1 概述1.1 GC(Garbage Collection)1.1.1 为什么需要GC?1.1.2 GC的工作原理工作原理什么是Root?GC算法:Mark-Compact 标记压缩算法GC优化:Generational 分代算法 1.1.3 GC的触发时间1.1.4 如何减少垃圾…

MFC核心技术探索

原文地址:李浩的博客 lihaohello.top 本文采用逐步调试的方法,带你一起探索MFC程序的执行流程、窗体创建、消息映射、运行时类型识别、对象动态创建这些核心机制。 相信读者在深入理解这些核心机制后,会由衷感叹于MFC框架实现的精妙&#xf…

Outh2四种授权模式详解

1.oauth 2.0 简介 2.各个角色介绍 3.四种模式 4.授权码模式 ①:获取授权码 ②:申请授权接口 ③:申请token ④:申请token接口 5.简单模式 6.密码模式 7.客户端模式