草庐IT

2023现代应用安全预测

Harris编辑 2023-03-28 原文

如今,软件主宰着世界,但仍然是一个巨大的、可访问的攻击面。2022年,估计有60亿美元投资于应用安全,预计到2023年,这一数字将达到75亿美元。在应用安全内部,软件供应链安全两年前就开始受到关注,这是应用安全增长最快的攻击类别,经常发生重大漏洞和利用事件。

在此背景下,在不久的将来,应用程序安全性将出现一些相关的大趋势。首先,在预生产开发环境中,开发管道越来越复杂,并且依赖于第三方。其次,应用程序安全和云安全之间的协同作用日益增强。这两个趋势定义了未来的安全挑战和我们对现代应用程序安全的预测。

1.云安全与应用安全将开始融合

在云中运行的应用程序的安全状态主要由云配置和应用程序代码决定。多年来,云安全和应用程序安全作为独立的安全问题运行。然而,把它们放在一起看的好处正变得越来越明显:

(1)统一态势:应用程序风险是云和应用程序安全态势的结合。例如,应用程序代码漏洞和承载应用程序的云服务的错误配置都是确定攻击面的基础。它们是不可分割的,应该一起分析和优先排序。

(2)场景:漏洞修复的优先级由云和应用程序场景驱动。例如,由面向互联网的服务暴露的代码中的漏洞可能比内部服务中不可访问的代码漏洞更需要修复。当您同时拥有应用程序和云场景时,有许多机会了解哪些漏洞对业务最关键。

(3)补救:有机会将在运行时发现的漏洞追溯到预生产开发环境中的代码更改和所有者。将整个链链接在一起——从代码到云——有助于快速确定问题的根本原因,更有效地修复它,在某些情况下还可以自动修复。

将云安全与应用程序安全结合在一起是安全观念的转变。安全解决方案将继续融合,这将为组织提供机会,将应用安全和云安全工程师的职责合并,并提高效率和有效性。

2.开源软件更加安全

如果没有数百个(或更多)第三方组件,几乎不可能发布软件。然而,开源生态系统不断受到攻击,人们试图通过隐藏的代码插入、排字抢注和其他一些技术来操纵开源库和组件。

为了跟上这些持续不断的网络犯罪创新,新的举措正在进行中,将额外的安全控制引入开源生态系统。我们期望看到:

软件开发公司对开源验证的需求增加,包括信誉检查、真实性检查和持续的漏洞扫描。

开源存储库(例如NPM)将对上传的软件提出更高的安全标准,以加强组织的检查控制,从代码签名开始。

更多第三方将包括软件材料清单(SBOM),可以在使用前进行验证。

软件安全度量的可用性不断增加,以及用于在SDLC中和部署之前验证软件使用的更通用的工具集将变得更加普遍。

3.代码工厂攻击面将继续扩大

针对开发人员、代码或构建系统的攻击大幅增加(根据一些来源,每年增长460-660%),增长是巨大的。最近的事件包括OKTA的源代码被盗,丰田的漏洞始于一个承包服务通过源代码暴露敏感机密,大规模的LastPass漏洞始于一个受侵害的开发人员,等等。

由于我们构建软件的现代方法:分布式工作人员、多个系统和插件、使用许多访问密钥、令牌、机器帐户和自动化,SDLC作为一个攻击面继续增长。这些都不会很快改变,只是变得更加复杂、异构和分布式。

在LegitSecurity,当我们运行价值证明(PoV)项目时,我们会在潜在客户环境中直接发现巨大的多样性和漏洞范围。我们发现和缓解的大多数安全问题都是由于诚实的错误或安全知识的差距造成的。例如,我们不断发现流氓构建服务器和工件存储,要么是遗留的,要么是由快速移动的开发团队快速生成的,它们是完全开放的,并且包含敏感的源代码和密码。

现在的预生产开发攻击面太广、太脆弱、目标太丰富。不幸的是,预测2023年将发生更多涉及软件供应链漏洞的事件——从恶意篡改到代码盗窃,再到开发系统的敏感数据泄露等等。

4.安全软件遵从性和SBOM

在SolarWinds受到攻击后,美国政府已经开始要求供应商包括一份签署的SBOM,并为安全软件开发框架(SSDF)进行审计。2023年,我们预计将看到:

当软件交付时,对应用安全的需求增长,而不仅仅是针对美国政府消费者。越来越多的买家将要求他们的软件供应商提供SBOM,越来越多的供应商将提供SBOM供下载。

企业将寻求在其管道中实现代码签名和认证生成,以满足SSDF的完整性要求。

B2B安全评估将需要更多安全开发实践的证据,并要求安全护栏、控制和自动漏洞扫描的证据。

5.通过安全问题场景实现更智能的优先级

有一个悖论——使用现代开发堆栈的安全和开发团队遭受“漏洞疲劳”。安全问题的数量是无法忍受的,它们产生的噪音分散了团队的注意力,减慢了他们试图分类和/或修复所有问题的速度。例如,当一个普通的容器映像立即产生数百个漏洞时——实际上,您应该怎么做?

通常情况下,安全团队面临着一个不可能的选择。漏洞扫描器的可用性和功能以及社区中的安全知识是巨大的(这是一件令人惊讶的事情)——但人们一致认为优先级是一场噩梦。“CVSS已死”这个词最近被广泛引用。

团队正在寻找更聪明的方法来确定优先级。对更智能的安全态势管理的需求不断增长——这可以通过依赖于应用程序场景的更全面的风险方法来实现。因此,我们看到了“代码到云”安全方法解决这个问题的一个强有力的例子——能够理解应用程序的准确解剖结构,并将代码风险与其运行时(云)特征联系起来。这为有意义的优先级集中提供了很好的机会。

例如,安全工程师在看到安全问题时可以问自己的第一个问题是——“这个东西是可利用的吗?”,或者“这是外露的吗?”,甚至“这段代码在哪里运行,这是处理敏感数据的业务关键型应用程序的一部分吗?”将看到更多的团队和更多的安全解决方案改变他们看待漏洞的方式,以及团队如何选择专注于问题并降低其他问题的优先级。

6.文化变更:应用程序发布治理的执行需求

应用程序发布时仍然存在漏洞,这是事实。组织开始意识到问题不在于检测漏洞的能力,而在于实施安全有效的端到端发布流程的能力。

现代的方法需要更多的开发人员参与,包括“安全冠军”程序,并向左移动以包括更多的自动化安全扫描。在一天结束的时候,安全和开发团队仍然对安全的发布负责,他们现在面临着更广泛的挑战:如何构建一个安全的应用程序开发管道。

这样做的压力已经开始从上到下。c级对演示保证每个软件部署安全的有效发布过程的需求正在增加。我们称这种需求为“释放治理”。

安全团队将寻找方法:

1.定义一个考虑到应用程序场景的整体发布策略。

2.在管道中构建一个补救工作流。

3.对安全的生产前开发环境的覆盖范围和有效性具有实时可见性,具有跟踪所有权、提供风险报告和调优的能力。

我们预测,随着时间的推移,这种更全面的应用程序安全范式将占据主导地位。安全团队将推动更多的自动化和开发协作,但安全的新优先事项将是获得过程的可见性和控制,以确保安全的应用程序发布——强调跨团队的报告和问责制。

现代应用程序的未来-从不无聊的时刻

应用程序安全是一场猫捉老鼠的游戏,充斥着快速变化、创新的攻击和利用,以及不断发展的安全解决方案。一些更大的趋势正在发生,将永久性地改变这一动态格局。

应用安全与云安全将更加紧密。第三方软件的安全性将升级,包括对消费者的信任机制。安全漏洞的处理方式正在发生更大的转变——首先是利用基于代码到云可追溯性的场景风险,其次是将重点从分类问题转移到拥有真正的发布治理。

人们受益于一个运行在软件上的世界,而软件的安全性对我们所有人都至关重要。合法安全平台在这里帮助迎来这个更安全的未来。这是为了现代应用安全的未来,以确保一个安全可靠的世界。


2023现代安全hce1b$网络安全

有关2023现代应用安全预测的更多相关文章

  1. ruby - 将差异补丁应用于字符串/文件 - 2

    对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl

  2. ruby-on-rails - Rails 应用程序之间的通信 - 2

    我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此

  3. ruby - 无法运行 Rails 2.x 应用程序 - 2

    我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby​​:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r

  4. ruby-on-rails - Rails 应用程序中的 Rails : How are you using application_controller. rb 是新手吗? - 2

    刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr

  5. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

    我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

  6. ruby-on-rails - 如何在我的 Rails 应用程序 View 中打印 ruby​​ 变量的内容? - 2

    我是一个Rails初学者,但我想从我的RailsView(html.haml文件)中查看Ruby变量的内容。我试图在ruby​​中打印出变量(认为它会在终端中出现),但没有得到任何结果。有什么建议吗?我知道Rails调试器,但更喜欢使用inspect来打印我的变量。 最佳答案 您可以在View中使用puts方法将信息输出到服务器控制台。您应该能够在View中的任何位置使用Haml执行以下操作:-puts@my_variable.inspect 关于ruby-on-rails-如何在我的R

  7. ruby - 如何安全地删除文件? - 2

    在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?

  8. ruby-on-rails - 如何在 Gem 中获取 Rails 应用程序的根目录 - 2

    是否可以在应用程序中包含的gem代码中知道应用程序的Rails文件系统根目录?这是gem来源的示例:moduleMyGemdefself.included(base)putsRails.root#returnnilendendActionController::Base.send:include,MyGem谢谢,抱歉我的英语不好 最佳答案 我发现解决类似问题的解决方案是使用railtie初始化程序包含我的模块。所以,在你的/lib/mygem/railtie.rbmoduleMyGemclassRailtie使用此代码,您的模块将在

  9. 世界前沿3D开发引擎HOOPS全面讲解——集3D数据读取、3D图形渲染、3D数据发布于一体的全新3D应用开发工具 - 2

    无论您是想搭建桌面端、WEB端或者移动端APP应用,HOOPSPlatform组件都可以为您提供弹性的3D集成架构,同时,由工业领域3D技术专家组成的HOOPS技术团队也能为您提供技术支持服务。如果您的客户期望有一种在多个平台(桌面/WEB/APP,而且某些客户端是“瘦”客户端)快速、方便地将数据接入到3D应用系统的解决方案,并且当访问数据时,在各个平台上的性能和用户体验保持一致,HOOPSPlatform将帮助您完成。利用HOOPSPlatform,您可以开发在任何环境下的3D基础应用架构。HOOPSPlatform可以帮您打造3D创新型产品,HOOPSSDK包含的技术有:快速且准确的CAD

  10. 叮咚买菜基于 Apache Doris 统一 OLAP 引擎的应用实践 - 2

    导读:随着叮咚买菜业务的发展,不同的业务场景对数据分析提出了不同的需求,他们希望引入一款实时OLAP数据库,构建一个灵活的多维实时查询和分析的平台,统一数据的接入和查询方案,解决各业务线对数据高效实时查询和精细化运营的需求。经过调研选型,最终引入ApacheDoris作为最终的OLAP分析引擎,Doris作为核心的OLAP引擎支持复杂地分析操作、提供多维的数据视图,在叮咚买菜数十个业务场景中广泛应用。作者|叮咚买菜资深数据工程师韩青叮咚买菜创立于2017年5月,是一家专注美好食物的创业公司。叮咚买菜专注吃的事业,为满足更多人“想吃什么”而努力,通过美好食材的供应、美好滋味的开发以及美食品牌的孵

随机推荐