基于威胁的安全测试值得关注,RASP将大放异彩

news2025/3/15 3:01:45

2‍021年7月21日,由中国信息通信研究院(CAICT)指导、悬镜安全主办、腾讯安全协办的中国首届DevSecOps敏捷安全大会(DSO 2021)在北京圆满举办。大会以“安全从供应链开始”为主题,寓意安全基础决定“上层建筑”,在云原生环境下为软件供应链注入覆盖全流程的安全属性,从源头做风险治理。

在大会现场,来自本届大会的主办方——悬镜安全的创始人兼CEO子芽以“DevSecOps敏捷安全发展趋势”为主题,围绕DevSecOps理念下相关技术的趋势做了分享,并且正式推出了DevSecOps敏捷安全技术金字塔2.0版本。

悬镜安全创始人兼CEO 子芽

悬镜安全为何要举办国内首个专注于DevSecOps领域的大会?

子芽表示,DevSecOps理念从2012年被提出到现在已发展多年,作为DevSecOps理念的倡导者,“悬镜安全一直期望能够搭建一个可以将行业内的安全厂商、行业用户、产业智库以及专业媒体等群体聚合起来的平台。大家可以在这里一同探讨前沿技术、展示研究成果、交流实践经验,共同打造更为贴近各行业需求的整体解决方案。”

为何安全要从供应链开始?

作为首届DevSecOps敏捷安全大会,为何会选择以“安全从供应链开始”为主题呢?按照常规的理解看,供应链安全无疑是近一段时间以来的热点话题,从2020年底引起全球关注的SolarWinds软件供应链攻击事件,再到2021年下半年伊始爆发的Kaseya遭攻击并导致受影响企业超千家的事件,都让软件供应链安全成为关注的焦点。


表面看起来似乎仅仅是对当下热点的追踪,但通过子芽的发言能感受到的是——绝非如此

关于“安全从供应链开始”这个主题,子芽分别从内因和外因两个方面进行了阐述。

从内因的角度看在当前这个数字经济时代下,软件定义万物,业内普遍认为安全应内生于业务发展的过程中,DevSecOps作为其中的一个细分领域,广泛被理解为开发安全,但在悬镜安全看来,DevSecOps不仅仅包含“左移”的安全开发体系建设,还包含在产品上线后的常态化运营过程中的敏捷安全建设。此外,在当前的环境下,软件大多都不是纯自研的,而是通过“组装”的方式诞生,其中有接近80-90%的成分都来自于开源组件,这也让开源软件成为现代软件开发最基础的原材料。因此,安全在软件供应链中的地位无疑是不容忽视的重要环节。

说到这里,子芽特别强调到,当前行业中一个普遍的观点认为DevSecOps仅仅只是开发安全,但悬镜安全对此持否定态度,在子芽看来,DevSecOps是开发、运营一体化的整体敏捷安全,贯穿于从开发到运营的整体业务流程中,而开发安全只是其中的一部分。

从外因的角度看在恶意攻击朝着自动化趋势发展的情况下,技术不断升级令攻防对抗也在不断地升级,利用软件供应链发起攻击的趋势也愈发明显,包括前文所述的与美国相关的软件供应链攻击的安全事件给我们带来了很多的警示,其中最关键的则是软件供应链的安全甚至会直接影响到国家的安全。

如上所述,从内、外两方面因素考量,软件供应链安全都应是当前最值得关切的重点。在这样的背景下,悬镜安全特意选择了“安全从供应链开始”作为首届DevSecOps敏捷安全大会的主题。

基于威胁的安全测试将是未来值得关注的方向

子芽分享到,混源软件开发已经成为现代应用主要软件开发交付方式,在软件成分构成中,来自于第三方的开源框架或组件所占比重较高,在这种情况下,这些开源代码及组件所处的地位就等同于基础设施,因而它的风险也成为了现代应用软件安全风险中不可忽视的一部分。

在诸多风险中,子芽特别强调了异常行为代码的风险,因为它在现在整个软件供应链攻击中占据了较高比例。对此他基于今年RSAC 2021创新沙盒大赛的冠军——Apiiro的技术方案分享了自己的体会。

Apiiro的方案中更加关注的是人的安全风险和代码风险的结合,人的因素是衡量安全的一个基本尺度。子芽举例,一般情况下我们可以将企业内的开发人员分为三类:

第一类属于正常类型的员工,在遵守企业所制定的规则方面都做的比较到位。

第二类属于非正常类型的员工,本身就很有可能是一个潜在的攻击者,而企业对他的恶意目的并不了解。

第三类可能会有些常见,就是缺乏安全开发素养的员工。

子芽在分析中指出,在不幸遇到上述的第二类员工时,那么就有可能会出现在上线前提交的代码中,一些高权限、架构级的代码被修改,甚至是被放入恶意代码,一旦这些代码正常通过了编译、构建并最终被发布,就会使其潜伏在用户的环境之中,当在某一时间点被触发时,无论是破坏力还是影响力都会是非常大的。

同时,如果遇到第三类安全开发素养比较低的员工,为了赶研发进度,很有可能会忽视自己所使用的框架库中存在何种安全缺陷,从而制造出潜在的安全风险,在某种程度上也会给企业增加在未来遭受软件供应链攻击的可能性。

因此,对于异常行为代码的检测就是基于威胁的安全测试,在子芽看来,这将是未来一个值得重点关注的方向。

DevSecOps敏捷安全技术金字塔2.0版本

DevSecOps敏捷安全技术金字塔2.0版本是子芽本次分享中的重头戏,也是悬镜安全一项新的研究成果。

对于熟悉悬镜安全或者是DevSecOps的朋友来说,相信对于这个‍DevSecOps敏捷安全技术金字塔并不陌生,早在去年下半年,悬镜安全就在《DevSecOps行业洞察报告》中发布了1.0版本,而本次的2.0版本,做了哪些升级呢?

在应用实践部分,悬镜安全将其认为在自动化和敏捷效果两方面较为突出的一些技术应用纳入第一层,在保留了OSS/SCA软件成分分析及IAST之外,此前在第二层的容器安全(Container Security)被挪至第一层。另外,BAS(入侵与攻击模拟)作为新的内容加入了金字塔的第一层。此前在第一层的EDR则进入到了传统建设层。

在第二层中,新加入的AVC/VPT是被子芽和悬镜安全非常看好的一项技术,子芽表示,“如果只强调单一工具的能力,工具之间形成了数据和能力检测的孤岛,效果必然不好。通过AVC/VPT,可以把各工具在不同阶段所发现的一些安全弱点、漏洞关联起来,并结合业务资产进行优先级的排序,这将会对安全测试的落地起到较大的辅助作用。”

在以往同悬镜安全的交流中,安全419能感受到他们对于第三层中的RASP所表现出的高度重视,在谈到这里时,子芽着重分享了自己对RASP应用的一些感受。

早在2014年,业界就已经关注到RASP这项新的技术,而它之所以未能被很好的应用,在子芽看来,主要在于其应用方向被广泛视作一个类WAF的产品,拿它去和主机WAF对比网络级的防护过滤效果,再加上它的侵入性比较强,对业务会产生一定的影响,这些都是令RASP在此前未能大规模应用的原因。

而在新的环境下,通过IAST工具,可以做到在每天build(编译)十几次的情况下发现其中的安全风险,一方面可以通过平台将风险报给管理部门,另一方面仍需要一个解决该风险的结果——是阻断该流程?还是允许它继续上线?在这样的场景中,很多用户无法做到实时对应用代码进行修复,而RASP在这时就可以体现出它的价值——作为一种出厂的威胁免疫和热补丁,对现有方案会是一个较好的补充。随后子芽也做了一个预言——RASP将会在明年的一些重要活动中大放异彩。

子芽在这个环节还谈到了关于DevSecOps实践中的体会,主要有以下四点:

1.DevSecOps的核心愿景是构建信任与弹性的研发、运营一体化环境,从而可以让组织敏捷、安全且充分地参与到软件供应链建设和保障中。

2.自动化、敏捷和情境化是DevSecOps建设的技术基础,不仅要求全量及增量检测做到高精度且低误报,同时还需要具备业务透视及数据系统分析的能力。

3.DevSecOps不仅仅关注应用本身的风险,还应关注CI/CD管道、容器、API等应用基础设施的安全。此外,人为因素所带来的异常风险也应予以重点关注。

4.技术正驱动着安全从左移(安全前置)到无处不移演进,同云原生安全技术进入到更为深度融合的阶段,这会成为组织上云的重点实践要求。

运行时的情境安全将成应用安全的下一个重要方向

子芽在这里总结道,在过去的网络安全技术变革中,从边界安全演进到主机安全,是因为后者相对前者有着更低的侵入性,而且可以看到更深层的异常行为,能够为安全带来更高的价值。

那么相比之下,通过运行时的情境感知能力可以看到的是完全透明的流量,可以实现业务透视,在这样的技术优势面前,悬镜安全认为运行时的情境安全会成为应用安全的下一个重要方向。

在演讲的最后,子芽也留下了寄语——上善若水,水利万物而不争,期待能够从首届DevSecOps敏捷安全大会(DSO 2021)开始,与国内外的行业创新力量一起携手共建一个普惠的DevSecOps生态。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2315192.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

AGI大模型(2):GPT:Generative Pre-trained Transformer

1 Generative Pre-trained Transformer 1.1 Generative生成式 GPT中的“生成式”指的是该模型能够根据输入自动生成文本内容,而不仅仅是从已有的文本库中检索答案。 具体来说: 生成(Generative):GPT是一个生成…

DeepSeek 助力 Vue3 开发:打造丝滑的表格(Table)之添加列宽调整功能,示例Table14_06带搜索功能的固定表头表格

前言:哈喽,大家好,今天给大家分享一篇文章!并提供具体代码帮助大家深入理解,彻底掌握!创作不易,如果能帮助到大家或者给大家一些灵感和启发,欢迎收藏关注哦 💕 目录 Deep…

MySQL再次基础 向初级工程师迈进

作者:在计算机行业找不到工作的大四失业者 Run run run ! ! ! 1、MySQL概述 1.1数据库相关概念 1.2MySQL数据库 2、SQL 2.1SQL通用语法 SQL语句可以单行或多行书写,以分号结尾。SQL语句可以使用空格/缩进来增强语句的可读性。MySQL数据库的SQL语句不区…

使用 Doris 和 Hudi

作为一种全新的开放式的数据管理架构,湖仓一体(Data Lakehouse)融合了数据仓库的高性能、实时性以及数据湖的低成本、灵活性等优势,帮助用户更加便捷地满足各种数据处理分析的需求,在企业的大数据体系中已经得到越来越…

城市林业的无声革命:人工智能与古老生态学如何重新设计城市

城市林业的无声革命:人工智能与古老生态学如何重新设计城市 在摩天大楼的阴影下,一场静悄悄的变革正在发生——它融合了硅芯片与古老根系,算法与原住民智慧。 作者:保罗桑杜 作者利用 PicLumen 创建的图像 城市森林不再只是城市…

Linux第七讲:基础IO

Linux第七讲:基础IO 1.什么是文件2.文件操作的复习2.1文件基本操作复习2.2将信息输出到显示器,你有哪种方法2.3stdin、stdout、stderror2.4细节问题讲解 3.系统文件IO3.1open函数使用3.1.1理解标志位3.1.2权限问题3.1.3write和read接口介绍3.1.4谈谈fd以…

力扣热题 100:多维动态规划专题经典题解析

系列文章目录 力扣热题 100:哈希专题三道题详细解析(JAVA) 力扣热题 100:双指针专题四道题详细解析(JAVA) 力扣热题 100:滑动窗口专题两道题详细解析(JAVA) 力扣热题 100:子串专题三道题详细解析(JAVA) 力…

【Unity】在项目中使用VisualScripting

1. 在packagemanager添加插件 2. 在设置中进行初始化。 Edit > Project Settings > Visual Scripting Initialize Visual Scripting You must select Initialize Visual Scripting the first time you use Visual Scripting in a project. Initialize Visual Scripting …

Pytest自动化测试框架pytest-xdist分布式测试插件

平常我们功能测试用例非常多时,比如有1千条用例,假设每个用例执行需要1分钟,如果单个测试人员执行需要1000分钟才能跑完; 当项目非常紧急时,会需要协调多个测试资源来把任务分成两部分,于是执行时间缩短一…

文件解析漏洞靶场解析全集详解

lls解析漏洞 目录解析 在网站的下面将一个1.asp文件夹&#xff0c;在里面建一个2.txt文件在里面写入<% -now()%>这个显示时间的代码&#xff0c;再将文件名改为2.jpg。 发现2.jpg文件以asp形式执行 畸形文件解析 将2.jpg文件移到网站的下面与1.asp并列&#xff0c;将名…

【一次成功】Win10本地化单机部署k8s v1.31.2版本及可视化看板

【一次成功】Win10本地化单机部署k8s v1.31.2版本及可视化看板 零、安装清单一、安装Docker Desktop软件1.1 安装前<启用或关闭Windows功能> 中的描红的三项1.2 查看软件版本1.3 配置Docker镜像 二、更新装Docker Desktop三、安装 k8s3.1 点击启动安装3.2 查看状态3.3 查…

Vue项目搜索引擎优化(SEO)终极指南:从原理到实战

文章目录 1. SEO基础与Vue项目的挑战1.1 为什么Vue项目需要特殊SEO处理&#xff1f;1.2 搜索引擎爬虫工作原理 2. 服务端渲染&#xff08;SSR&#xff09;解决方案2.1 Nuxt.js框架实战原理代码实现流程图 2.2 自定义SSR实现 3. 静态站点生成&#xff08;SSG&#xff09;技术3.1…

【性能测试】Jmeter下载安装、环境配置-小白使用手册(1)

本篇文章主要包含Jmeter的下载安装、环境配置 添加线程组、结果树、HTTP请求、请求头设置。JSON提取器的使用&#xff0c;用户自定义变量 目录 一&#xff1a;引入 1&#xff1a;软件介绍 2&#xff1a;工作原理 3&#xff1a;安装Jmeter 4&#xff1a;启动方式 &#xf…

【Matlab仿真】如何解决三相交流信号源输出波形失真问题?

问题描述 如标题所示&#xff0c;在搭建simulink模型过程中&#xff0c;明明模型搭建的没有问题&#xff0c;但是输出的波形却不是理想的正弦波&#xff0c;影响问题分析。 问题分析 以三相交流信号源输出波形为例&#xff0c;输出信号理应为三相正弦量&#xff0c;但是仿真…

Fiora聊天系统本地化部署:Docker搭建与远程在线聊天的实践指南

文章目录 前言1.关于Fiora2.安装Docker3.本地部署Fiora4.使用Fiora5.cpolar内网穿透工具安装6.创建远程连接公网地址7.固定Uptime Kuma公网地址 前言 这个通讯软件泛滥的时代&#xff0c;每天都在刷着同样的朋友圈、看着千篇一律的表情包&#xff0c;是不是觉得有点腻了&#…

metersphere接口测试(1)使用MeterSphere进行接口测试

文章目录 前言接口文档单接口测试环境配置梳理接口测试场景测试接口 接口自动化怎么写复用性高的自动化测试用例 总结 前言 大汉堡工作第203天&#xff0c;本篇记录我第一次接触接口测试任务&#xff0c;最近有些懈怠啊~ 接口文档 首先就是接口地址&#xff0c;接口测试时用…

【实战ES】实战 Elasticsearch:快速上手与深度实践-8.2.2成本优化与冷热数据分离

&#x1f449; 点击关注不迷路 &#x1f449; 点击关注不迷路 &#x1f449; 点击关注不迷路 文章大纲 8.2.2AWS OpenSearch Serverless 成本优化与冷热数据分离深度实践1. 成本构成分析与优化机会识别1.1 Serverless模式成本分布1.2 冷热数据特征分析数据特征矩阵 2. 冷热数据…

MTK Android12 安装app添加密码锁限制

提示&#xff1a;通过安装前输入密码的需求&#xff0c;来熟悉了解PMS 基本的安装流程 文章目录 一、需求实现需求原因提醒 二、UML图-类图三、参考资料四、实现效果五、需求修改点修改文件及路径具体修改内容 六、源码流程分析PMS的复杂性代码量实现aidl 接口PackageManagerSe…

[数据结构]堆详解

目录 一、堆的概念及结构 二、堆的实现 1.堆的定义 2堆的初始化 3堆的插入 ​编辑 4.堆的删除 5堆的其他操作 6代码合集 三、堆的应用 &#xff08;一&#xff09;堆排序&#xff08;重点&#xff09; &#xff08;二&#xff09;TOP-K问题 一、堆的概念及结构 堆的…