由COVID-19大流行引起的大規(guī)模轉(zhuǎn)向遠程工作，提高了許多組織對彈性應用安全實踐的需求。

　　除了應對這些天應用程序發(fā)布的大量和頻率之外，應用程序安全團隊現(xiàn)在還必須應對與遠程工作和簽入來自全球各地的代碼相關的挑戰(zhàn)。

　　隨著應用程序每周、每天甚至每小時發(fā)布到生產(chǎn)環(huán)境中，DevSecOps中的“秒”確實從未像現(xiàn)在這樣相關或重要。是時候確保您的應用安全方法具有網(wǎng)絡彈性了。這里有五個需要關注的領域。

　　1.自動化

　　自動化對于網(wǎng)絡彈性至關重要。您需要利用工具，以使應用安全解決方案盡可能無接觸和流程驅(qū)動。理想情況下，任何可以自動化的東西都應該是自動化的，而彈性系統(tǒng)將允許這樣做。事實上，一個有彈性的系統(tǒng)不僅會允許它，而且還會推動自動化。

　　想象一下未來的環(huán)境，如果您需要突然掃描1,000個應用程序，您可以自動增加處理該容量所需的掃描儀數(shù)量。如果容量發(fā)生變化并且您不再需要那么多掃描儀，那么您的系統(tǒng)就足夠智能，可以解決這個問題并自動降低數(shù)量。

　　在一個真正有彈性的系統(tǒng)中，自動化將允許開發(fā)人員編寫和提交代碼，并且掃描就會發(fā)生。你不應該做任何事情。系統(tǒng)會自動刪除您無法修復的內(nèi)容、在您的環(huán)境中不重要的內(nèi)容、或您的KPI和類似性質(zhì)的內(nèi)容。這幾乎就像您踩下汽車的油門踏板一樣。有很多事情要做，但你不需要知道引擎除了它所做的任何事情。這是相當強大的。

　　最終，目標應該是擁有像拼寫檢查器一樣自我修復的代碼。我們還沒有到那一步，但有一天會有足夠的智能讓你相信系統(tǒng)可以自行修復問題。

　　2.有可操作的結(jié)果

　　您的應用安全計劃應專注于推動測試結(jié)果的可操作性。它應該以您今天需要關注的事情為中心。從歷史上看，當您真正需要的只是與組織和您相關的問題列表時，應用程序安全解決方案傾向于為您提供要解決的問題的清單。

　　一個有彈性的系統(tǒng)將專注于你今天需要解決的10件事，而不是你可能需要隨著時間的推移解決的1000件事。它使用智能來識別可能影響或阻止您投入生產(chǎn)的問題。

　　可操作性是自動化的一部分。這意味著開發(fā)人員可以編寫一些代碼，而在幕后對代碼進行評估并盡快顯示相關且需要修復的內(nèi)容。這就像從一匹馬和一輛馬車變成一輛特斯拉。

　　3.支持更頻繁的掃描

　　您將代碼安全地發(fā)布到生產(chǎn)環(huán)境中的能力以及遙測的速度在很大程度上取決于您能夠掃描應用程序的頻率。您需要應用程序安全性的彈性，因為您擁有更多應用程序并且您正在更頻繁地掃描它們。這給應用安全團隊、開發(fā)人員和CISO帶來了很大壓力。

　　彈性系統(tǒng)支持可擴展的掃描容量，從1次掃描到1+n次。雖然可擴展性與掃描儀數(shù)量和您擁有的應用程序數(shù)量有關，但彈性系統(tǒng)中的頻率與您掃描這些應用程序的頻率有關。

　　例如，如果您使用GitHub并且您每天掃描或提交20次，則您需要有一個足夠有彈性的系統(tǒng)來處理該頻率。這是關于具有突發(fā)功能，可以在達到閾值時打開更多掃描，而無需打電話給某人或去尋找其他產(chǎn)品。比如說，你只需在Docker中啟動另一個容器，就完成了。

　　4.覆蓋范圍廣

　　現(xiàn)代Web應用程序非常受Web服務驅(qū)動，您擁有的Web服務和API越多，應用程序的風險就越大。彈性是指擁有一個應用安全解決方案，它不僅可以解決您現(xiàn)在正在做的事情，而且還具有應對未來挑戰(zhàn)的靈活性和可擴展性。

　　您的解決方案需要與云無關，并具有涵蓋本地和SaaS環(huán)境的靈活性。它應該能夠快速支持新的語言和框架。覆蓋面廣度意味著支持企業(yè)現(xiàn)在和未來需要掃描的各種語言。大多數(shù)企業(yè)不僅僅擁有.NET或Java，它們還擁有數(shù)十種語言。

　　如果您從.NET商店開始，并且擁有.NET的靜態(tài)分析功能，那么如果有新團隊加入或收購另一家公司，您是否有能力支持Java？還是您需要出去購買一套全新的產(chǎn)品？一個有彈性的應用程序安全系統(tǒng)將能夠掃描這些新應用程序，您可以簡單地決定要利用哪種模型，從SaaS或內(nèi)部部署到混合。

　　5.確保它是可擴展的

　　在彈性系統(tǒng)中，您無需添加基礎架構(gòu)即可獲得更多掃描功能。您的系統(tǒng)將與云無關，并且能夠按需啟動掃描服務器，并在您不需要它們時同樣輕松地關閉它們。只需幾分鐘，您就可以從需要額外容量來掃描更多應用程序轉(zhuǎn)變?yōu)閮H打開額外容量。

　　許可靈活性對于可擴展性至關重要。它需要足夠靈活，這樣您就不必在每次需要額外容量進行靜態(tài)或動態(tài)測試時都購買另一個許可證。您的許可證應該允許您根據(jù)需要和掃描容量來回移動。

　　為什么網(wǎng)絡彈性是關鍵

　　Verizon年度數(shù)據(jù)泄露調(diào)查報告的最新版本顯示，Web應用程序漏洞是網(wǎng)絡犯罪分子的首要目標。Verizon在2019年調(diào)查的數(shù)據(jù)泄露事件中，約有40%實際上涉及應用程序漏洞。

　　很明顯：強大的應用程序安全計劃對企業(yè)網(wǎng)絡彈性至關重要。按照上面的指導來改變你的方法。

　　保持學習

　　未來是安全即代碼。通過TechBeacon指南了解DevSecOps如何幫助您實現(xiàn)目標。另外：請參閱SANSDevSecOps調(diào)查報告，了解對從業(yè)者的重要見解。

　　使用TechBeacon指南快速了解應用程序安全測試的狀態(tài)。另外：獲取Gartner的2021年AST魔力象限。

　　通過TechBeacon的2021年應用程序安全工具指南了解應用安全工具領域。

　　下載免費的ForresterWave靜態(tài)應用程序安全測試。另外：在此網(wǎng)絡研討會中了解SAST-DAST組合如何提高您的安全性。

　　了解API安全需要訪問管理的五個原因。

　　了解如何為未來十年制定應用安全策略，并在應用安全開發(fā)人員的生活中度過一天。

　　使用TechBeacon指南構(gòu)建現(xiàn)代應用安全基礎。