前言

应用安全正处于转型期，传统方法面临挑战。Gartner预测，到2026年，70%的平台团队将集成应用安全工具，显著高于2023年的20%。尽管组织采用了应用安全态势管理（ASPM）和分散的安全测试工具，但这常导致工具泛滥、误报增多和修复困难，反而增加了工作量、延缓了开发进度，并加大了风险。

关于OX Security

OX Security 正在将 AppSec 实践与其 Active ASPM 平台统一起来，使用户能够通过在整个软件开发生命周期中提供可见性和可追溯性、上下文优先级以及自动响应来预防风险。该平台使组织能够消除手动实践并接受可扩展的安全开发。
OX Active ASPM旨在帮助应用安全从静态转向主动管理。

产品理念

• 通过完整的端到端覆盖整个软件开发生命周期来查看一切。
• 通过适应上下文的优先级来专注于重要的事情，以满足您的业务需求。
• 通过自动响应和无代码工作流程大规模降低风险。

流程体验

Complete Visibility：将安全无缝嵌入到SDLC中

OX通过source control, CI/CD, registry, and cloud environments的API确保持续的可见性和可追溯性，通过专有的pipeline材料构建(PBOM)进行实时监控，跟踪完整的软件生命周期，确保构建完整性，并从一开始到发布保护生产应用程序。

PBOM

软件供应链 PBOM（管道物料清单）组件提供了从头到尾的整个软件开发管道的图形视图

A：扫描阶段：

Git posture、Code Security、Secret/PII scan、Open source
security、SBOM、Infrastructure as code scan、CI/CD posture、Container
security、Artifact integrity、Cloud security

B：开发和生产基础设施
C：安全工具
D：覆盖范围

每个扫描阶段安全工具覆盖的应用程序的百分比。

OSC&R coverage

OSC&R(Open Software Supply Chain Attack Reference) 是一个专门针对软件供应链攻击的结构化视图

Contextualized Prioritization：快速解决最关键的风险

OX 通过对所有 AppSec 数据进行规范化、情境化和优先级排序，准确地确定表面之外的威胁的优先级。它可以有效评估漏洞、可利用性、可达性和业务影响，能够通过从同一控制台查看修复代码以及提交PR来快速响应。

Accelerated Response：简化安全流程

借助无代码工作流程，可以通过自动阻止引入管道的漏洞、有风险的代码和配置更改来提高效率、减少手动操作。

See Beyond the Code：缩小安全工具和覆盖范围之间的差距

OX 对开发风险的持续监控可帮助避开 Log4j 和 Codecov 等已知威胁，同时通过独特的研究和威胁情报来防止新兴的攻击类型。借助可定制的仪表板和报告，获得有关安全态势 (SLSA) 的重要见解，确保合规性并防止安全漂移。

流程总结

参考

https://docs.ox.security