AST,多行业应用安全漏洞检测不可或缺
时间:2022-04-01 10:30:01 | 来源:行业动态
时间:2022-04-01 10:30:01 来源:行业动态
为了帮助企业提升产品研发效率和质量,同时实现DevOps和Sec两个目标,可在软件开发的初期便进行介入和预防,借助工具提升代码安全检测的效率。因此AST(应用程序安全漏洞测试)软件成为了首要选择。AST领域包含SAST(静态测试)、DAST(动态测试)和IAST(交互式测试)这三类测试方法。
如果开发者能在左移测试(Shift-Left Testing),即在开发生命周期的初期使用SAST工具,则可以有效地提升代码检测的准确性和效率,极大地降低时间、资金、人力等资源的消耗。而市场对于SAST工具的核心要求便是扫描效率高、速度快、准确率高。鉴释目前提供的SAST核心产品就可以有效融入软件开发生命周期(SDLC)中,为DevSecOps实践提供最大的帮助,鉴释IAST产品的开发也正在快速进行中。
目前除了IT行业,许多传统行业,例如金融、能源、工业、教育、医疗等都有软件安全的需求, 此时AST类的工具就该上场了。但面对多场景的应用,安全团队不应该一味照搬公式,而是应该像给软件和代码做诊断的医生一般详细地了解、分析应用的行业背景、需求、痛点以及未来计划等。缺乏细致、持续沟通的解决方案只能解决一时之急,鉴释立足于目前核心的SAST产品,细心打磨自主解决方案,提供更快速、高效、持续的响应,已经帮助多行业的开发团队安全、快速的走完开发周期。
除了工具提供的辅助外,团队上下对安全的重视程度也相当重要。Gitlab今年发布的第四次全球DevSecOps年度报告称,安全团队不再是局外人,开发和运维人员的跨团队紧密合作达到了前所未有的程度。安全,则变成了团队每个成员都应该秉持的理念。该报告数据显示,近30%的受访者认为团队内的每个人都应当将软件安全视作己任,而20%的受访者认为开发人员也应挑起软件安全的大梁,而不是只拘泥于开发。
图2:Gitlab对于团队内部安全责任分担问题的调查结果
该调查结果无不标志着安全责任正从原来的安全运维团队逐渐扩大至软件开发团队内的每个成员身上,开发人员和运维团队之间的界限越来越模糊,即将Sec深深融入DevOps骨髓之中。
在线咨询
