由COVID-19大流行引起的大規(guī)模轉(zhuǎn)向遠(yuǎn)程工作，提高了許多組織對(duì)彈性應(yīng)用安全實(shí)踐的需求。

　　除了應(yīng)對(duì)這些天應(yīng)用程序發(fā)布的大量和頻率之外，應(yīng)用程序安全團(tuán)隊(duì)現(xiàn)在還必須應(yīng)對(duì)與遠(yuǎn)程工作和簽入來(lái)自全球各地的代碼相關(guān)的挑戰(zhàn)。

　　隨著應(yīng)用程序每周、每天甚至每小時(shí)發(fā)布到生產(chǎn)環(huán)境中，DevSecOps中的“秒”確實(shí)從未像現(xiàn)在這樣相關(guān)或重要。是時(shí)候確保您的應(yīng)用安全方法具有網(wǎng)絡(luò)彈性了。這里有五個(gè)需要關(guān)注的領(lǐng)域。

　　1.自動(dòng)化

　　自動(dòng)化對(duì)于網(wǎng)絡(luò)彈性至關(guān)重要。您需要利用工具，以使應(yīng)用安全解決方案盡可能無(wú)接觸和流程驅(qū)動(dòng)。理想情況下，任何可以自動(dòng)化的東西都應(yīng)該是自動(dòng)化的，而彈性系統(tǒng)將允許這樣做。事實(shí)上，一個(gè)有彈性的系統(tǒng)不僅會(huì)允許它，而且還會(huì)推動(dòng)自動(dòng)化。

　　想象一下未來(lái)的環(huán)境，如果您需要突然掃描1,000個(gè)應(yīng)用程序，您可以自動(dòng)增加處理該容量所需的掃描儀數(shù)量。如果容量發(fā)生變化并且您不再需要那么多掃描儀，那么您的系統(tǒng)就足夠智能，可以解決這個(gè)問(wèn)題并自動(dòng)降低數(shù)量。

　　在一個(gè)真正有彈性的系統(tǒng)中，自動(dòng)化將允許開(kāi)發(fā)人員編寫和提交代碼，并且掃描就會(huì)發(fā)生。你不應(yīng)該做任何事情。系統(tǒng)會(huì)自動(dòng)刪除您無(wú)法修復(fù)的內(nèi)容、在您的環(huán)境中不重要的內(nèi)容、或您的KPI和類似性質(zhì)的內(nèi)容。這幾乎就像您踩下汽車的油門踏板一樣。有很多事情要做，但你不需要知道引擎除了它所做的任何事情。這是相當(dāng)強(qiáng)大的。

　　最終，目標(biāo)應(yīng)該是擁有像拼寫檢查器一樣自我修復(fù)的代碼。我們還沒(méi)有到那一步，但有一天會(huì)有足夠的智能讓你相信系統(tǒng)可以自行修復(fù)問(wèn)題。

　　2.有可操作的結(jié)果

　　您的應(yīng)用安全計(jì)劃應(yīng)專注于推動(dòng)測(cè)試結(jié)果的可操作性。它應(yīng)該以您今天需要關(guān)注的事情為中心。從歷史上看，當(dāng)您真正需要的只是與組織和您相關(guān)的問(wèn)題列表時(shí)，應(yīng)用程序安全解決方案傾向于為您提供要解決的問(wèn)題的清單。

　　一個(gè)有彈性的系統(tǒng)將專注于你今天需要解決的10件事，而不是你可能需要隨著時(shí)間的推移解決的1000件事。它使用智能來(lái)識(shí)別可能影響或阻止您投入生產(chǎn)的問(wèn)題。

　　可操作性是自動(dòng)化的一部分。這意味著開(kāi)發(fā)人員可以編寫一些代碼，而在幕后對(duì)代碼進(jìn)行評(píng)估并盡快顯示相關(guān)且需要修復(fù)的內(nèi)容。這就像從一匹馬和一輛馬車變成一輛特斯拉。

　　3.支持更頻繁的掃描

　　您將代碼安全地發(fā)布到生產(chǎn)環(huán)境中的能力以及遙測(cè)的速度在很大程度上取決于您能夠掃描應(yīng)用程序的頻率。您需要應(yīng)用程序安全性的彈性，因?yàn)槟鷵碛懈鄳?yīng)用程序并且您正在更頻繁地掃描它們。這給應(yīng)用安全團(tuán)隊(duì)、開(kāi)發(fā)人員和CISO帶來(lái)了很大壓力。

　　彈性系統(tǒng)支持可擴(kuò)展的掃描容量，從1次掃描到1+n次。雖然可擴(kuò)展性與掃描儀數(shù)量和您擁有的應(yīng)用程序數(shù)量有關(guān)，但彈性系統(tǒng)中的頻率與您掃描這些應(yīng)用程序的頻率有關(guān)。

　　例如，如果您使用GitHub并且您每天掃描或提交20次，則您需要有一個(gè)足夠有彈性的系統(tǒng)來(lái)處理該頻率。這是關(guān)于具有突發(fā)功能，可以在達(dá)到閾值時(shí)打開(kāi)更多掃描，而無(wú)需打電話給某人或去尋找其他產(chǎn)品。比如說(shuō)，你只需在Docker中啟動(dòng)另一個(gè)容器，就完成了。

　　4.覆蓋范圍廣

　　現(xiàn)代Web應(yīng)用程序非常受Web服務(wù)驅(qū)動(dòng)，您擁有的Web服務(wù)和API越多，應(yīng)用程序的風(fēng)險(xiǎn)就越大。彈性是指擁有一個(gè)應(yīng)用安全解決方案，它不僅可以解決您現(xiàn)在正在做的事情，而且還具有應(yīng)對(duì)未來(lái)挑戰(zhàn)的靈活性和可擴(kuò)展性。

　　您的解決方案需要與云無(wú)關(guān)，并具有涵蓋本地和SaaS環(huán)境的靈活性。它應(yīng)該能夠快速支持新的語(yǔ)言和框架。覆蓋面廣度意味著支持企業(yè)現(xiàn)在和未來(lái)需要掃描的各種語(yǔ)言。大多數(shù)企業(yè)不僅僅擁有.NET或Java，它們還擁有數(shù)十種語(yǔ)言。

　　如果您從.NET商店開(kāi)始，并且擁有.NET的靜態(tài)分析功能，那么如果有新團(tuán)隊(duì)加入或收購(gòu)另一家公司，您是否有能力支持Java？還是您需要出去購(gòu)買一套全新的產(chǎn)品？一個(gè)有彈性的應(yīng)用程序安全系統(tǒng)將能夠掃描這些新應(yīng)用程序，您可以簡(jiǎn)單地決定要利用哪種模型，從SaaS或內(nèi)部部署到混合。

　　5.確保它是可擴(kuò)展的

　　在彈性系統(tǒng)中，您無(wú)需添加基礎(chǔ)架構(gòu)即可獲得更多掃描功能。您的系統(tǒng)將與云無(wú)關(guān)，并且能夠按需啟動(dòng)掃描服務(wù)器，并在您不需要它們時(shí)同樣輕松地關(guān)閉它們。只需幾分鐘，您就可以從需要額外容量來(lái)掃描更多應(yīng)用程序轉(zhuǎn)變?yōu)閮H打開(kāi)額外容量。

　　許可靈活性對(duì)于可擴(kuò)展性至關(guān)重要。它需要足夠靈活，這樣您就不必在每次需要額外容量進(jìn)行靜態(tài)或動(dòng)態(tài)測(cè)試時(shí)都購(gòu)買另一個(gè)許可證。您的許可證應(yīng)該允許您根據(jù)需要和掃描容量來(lái)回移動(dòng)。

　　為什么網(wǎng)絡(luò)彈性是關(guān)鍵

　　Verizon年度數(shù)據(jù)泄露調(diào)查報(bào)告的最新版本顯示，Web應(yīng)用程序漏洞是網(wǎng)絡(luò)犯罪分子的首要目標(biāo)。Verizon在2019年調(diào)查的數(shù)據(jù)泄露事件中，約有40%實(shí)際上涉及應(yīng)用程序漏洞。

　　很明顯：強(qiáng)大的應(yīng)用程序安全計(jì)劃對(duì)企業(yè)網(wǎng)絡(luò)彈性至關(guān)重要。按照上面的指導(dǎo)來(lái)改變你的方法。

　　保持學(xué)習(xí)

　　未來(lái)是安全即代碼。通過(guò)TechBeacon指南了解DevSecOps如何幫助您實(shí)現(xiàn)目標(biāo)。另外：請(qǐng)參閱SANSDevSecOps調(diào)查報(bào)告，了解對(duì)從業(yè)者的重要見(jiàn)解。

　　使用TechBeacon指南快速了解應(yīng)用程序安全測(cè)試的狀態(tài)。另外：獲取Gartner的2021年AST魔力象限。

　　通過(guò)TechBeacon的2021年應(yīng)用程序安全工具指南了解應(yīng)用安全工具領(lǐng)域。

　　下載免費(fèi)的ForresterWave靜態(tài)應(yīng)用程序安全測(cè)試。另外：在此網(wǎng)絡(luò)研討會(huì)中了解SAST-DAST組合如何提高您的安全性。

　　了解API安全需要訪問(wèn)管理的五個(gè)原因。

　　了解如何為未來(lái)十年制定應(yīng)用安全策略，并在應(yīng)用安全開(kāi)發(fā)人員的生活中度過(guò)一天。

　　使用TechBeacon指南構(gòu)建現(xiàn)代應(yīng)用安全基礎(chǔ)。