应用安全购买者指引-BlackDuckSoftware.PDFVIP

应用安全购买者指南 1 应用安全购买者指南 管理应用安全风险需要一种全面的工具包 摘要 据SAP统计，当今85%的安全攻击都是针对软件应用的。因此毫 不奇怪，市面上有许多在方法和范围上都不尽相同的应用安全工 具来帮助公司解决安全风险。例如，传统的应用安全工具 - 动 态分析安全测试(Dynamic Analysis Security Testing, DAST)和 静态分析安全测试(Static Analysis Security Testing, SAST)便能 非常有效地发现内部开发人员编写的应用代码中存在的错误。 但是，它们难以有效识别开源软件漏洞。鉴于在全球范围内， 开源都是一种基本的应用开发组件，因此有效的开源漏洞管理 是必不可少的。 本指南全面概述了应用安全风险，讨论了可用解决方案的类型 及各自的优缺点。它讨论了为何组织需要一种全面的应用安全 工具包来在产品的整个生命周期中保障安全。 引言 在一个软件无处不在的世界中，所有组织都面临着一个大挑战： 当今，85%的安 要编写出好软件是很难的。随着软件变得越来越复杂，确保其 全攻击都是针对 可靠和安全便变得越来越困难。随时随处都可能犯错。不论是 软件应用的 购买的软件、定制开发的内部和商用软件，还是作为服务交付 的软件，全都是这样。对于占据普通商业应用超过35%的开源 软件来说，尤其如此1。开源的优势非常明显 - 更快速地上市， 更多的创新机会和更低的开发成本，并能利用全球的开发人员 团体，但与开源使用相关的安全和风险管理挑战常常被忽视。 1 应用漏洞：您的代码里有什么？ 定制代码、商业应用、开源代码和第三方代码中的漏洞分为三 个基本类别： • 由定制代码缺陷产生的漏洞， • 由应用配置错误所导致的漏洞，及 • 由使用开源和其他第三方组件所产生的漏洞。 由定制代码缺陷产生的弱点和漏洞 定制代码缺陷是开发团队引入到应用代码中的安全性错误。业内 开源存在于所分 对最重大的网络应用安全缺陷有着广泛的共识，请参见开源Web 析的超过95%的 应用安全项目(OWASP)十大漏洞列表2。其中最重要的包括SQL注 应用中3 入、失效的身份验证和会话管理、跨站脚本、不安全的直接对象 引用，及使用不明的有漏洞组件。DAST和SAST应用安全测试工 具着重于通过测试或代码检查来检测这些最常见的漏洞类型。 由应用配置错误所导致的漏洞 应用堆栈、定制代码、平台、网络和应用服务器、框架和数据库 中都可能会发生配置错误。它们不是编码问题。它们是能够被轻 易利用的选项和功能。像是无意地将开发配置部署到生产；对应 用启用了目录列表；未更改默认帐户或密码；及忘记更新操作 系统这样的简单事件都是会导致漏洞的常见配置错误。OWASP 称，许多软件包在推出时就带有这种类型的漏洞。 由开源组件产生的漏洞 应用越来越多地构建于可重复利用的组件基础之上 - 主要是开 源软件。近些年，全球范围的开源使用出现了显著增长，研究 发现，为客户分析的超过95%的应用中存在开源3。不过，公司 依然不大了解他们所使用的开源量，且没有意识到开源中可能 存在的漏洞。 2 开源所面临的安全风险并不比商用软件小。但是，组织对其所 使用的开源缺乏了解导致其无法有效地缓解和修复开源漏洞。 大多数的开源漏洞都是由安全研究人员报告的，而不是应用开 发团队使用传统的现成DAST和SAST应用安全工具发现的。开 鉴于开发周期的 源漏洞无处不在；报告显示，平均有67%的商业应用含有开源 速度越来越快， 安全漏洞4。开源漏洞的数量在不断增长