管理软件供应链中网络安全工具蔓延的三种方法

软件开发组织不断发展,团队成长,项目数量增加。技术堆栈发生变化,技术和管理决策变得更加分散。

在这一演变过程中,该组织的 AppSec 工具组合也在不断增长。在动态组织中,这可能会导致“工具蔓延”。庞大的 AppSec 工具组合包括许多单点解决方案,由不同的团队在不同的时间获取,以服务于不同的(或者在不知不觉中重叠的)目的。

庞大的工具导致数据孤岛具有不同的术语、分配规则和解决方案。这种情况会导致 IT 预算浪费,更糟糕的是,集成、确定优先级和解决威胁可能会非常耗时。

如果您的 AppSec 工具非常庞大,并且您觉得它已经超出了您有效管理它的能力,那么值得投入时间和精力来控制它。这样做将帮助您:

■ 获得从第一行代码到生产的软件供应链的完整可见性和端到端可追溯性。
■ 查看安全工具中存在差距或重叠的地方。
■ 通过消除不能产生增量价值的工具来节省资金。
■ 让安全成为开发过程中不可或缺的一部分,而不是事后才想到的。
■ 通过自动分类和优先级提高安全警报的信噪比。
■ 减少手动工作并自动执行保护操作,所有这些都在一个位置进行。

OX 的 Active ASPM 平台通过以下三种方式帮助您控制 AppSec 工具的蔓延,以便您可以最大限度地提高工具投资的保护、生产力和投资回报率:

1.集成安全警报以消除孤岛

要控制工具蔓延,您首先要解决的问题之一是缺乏可见性。这就是为什么您希望将工具中的警报集成到一个集中的位置。获得对安全问题的集中可见性可以使安全开发更快、更有效:

■ 提高信噪比;让开发人员专注于重要的问题。
■ 在开发过程中尽早发现安全问题。
■ 减少引发冗余或不合时宜的安全问题。
■ 避免因过度优先考虑卫生问题而延迟发布,
■ 查看跨工具的相关问题,表明存在真正的攻击杀伤链。

建造与购买

将 AppSec 工具中的安全问题集成到中央仪表板中是一个好主意。我们看到公司尝试在内部构建这些,但成功率很低。集成如此多的系统既昂贵又耗时。集中查看软件供应链安全问题的更快且更具成本效益的途径是通过交钥匙系统。寻找一个能够在一个易于查看的界面中为您提供所需所有信息的提供商。

以平台为例,正如您在上面的 OX 仪表板中看到的那样,聚合并显示了来自多个软件项目的多个工具的数千个问题。无论您是构建还是购买,拥有这种可见性都至关重要。这是下一步管理软件供应链中安全工具的先决条件。

2.自动进行问题分类、预防和解决

软件供应链中的工具发出数千个警报的情况并不罕见。它是如此嘈杂,以至于开发人员经常忽略警报。自动化可以通过提高警报信噪比以及自动升级和解决来解决优先级问题,从而实现更快、更安全的软件交付。 

为了让您了解可能性,让我们以 OX Security 为例,看看自动化如何在最大限度地减少环境噪音方面发挥重要作用…… 

自动进行问题分类和优先级排序

每次您创建新的构建时,OX 都会为该构建生成一个知识图,该知识图聚合了管道中的所有不同安全问题。OX 可以删除重复的问题,并根据潜在的业务影响对它们进行优先级排序。如下图所示,数千个原始警报集中到了几百个需要最紧急关注的警报:

优先风险和错误配置由 OX 组织,使用开源框架 OSC&R 作为上下文(稍后将详细介绍 OSC&R)。这使得每个人都更清楚问题的严重性和责任感。这种清晰度有助于在开发过程的早期消除严重的安全问题,并确保出于安全原因阻止发布的决策得到充分合理化并被团队理解。

自动解决和预防问题

安全工具蔓延的其他问题之一是问题的分配和解决不一致。像 OX 这样的平台可以通过自动化修复和工作流程来解决这个问题,还可以提供建议和解释来培训和授权您的团队: 

在编码和配置任务期间利用这种智能也很重要,而不仅仅是在构建过程之后被动地利用这种智能。寻找一个集成到开发人员的 IDE、CI/CD 和其他开发人员工具中的平台,以主动预防问题。这样做可以简化您的安全开发流程: 

3.使用 OSC&R 框架合理化您的工具组合

最后,您需要确保您使用的框架能够明确您需要保护的内容以及需要关注的威胁。如果您的整个软件供应链都有此功能,则可以将现有工具映射到其中,从而揭示风险覆盖范围中的重叠和差距。

好消息是这个框架已经存在。开放软件供应链攻击参考 ( OSC&R ) 是一项行业标准。它对软件供应链的作用就像Mitre ATT&CK对端点安全的作用一样。如下所示,OSC&R 记录了软件供应链各个部分可能的攻击点和机制: 

借助 OSC&R,您可以将 AppSec 工具映射到威胁,并就获取、保留或终止哪些工具做出更明智的决策。OX Security通过扫描您的环境和管道(从云到代码)来自动执行此操作。

扫描时,OX 会自动识别您正在使用哪些工具,以及是否应部署其他工具以最大限度地扩大覆盖范围。您现在应该拥有一个涵盖您的软件供应链的 AppSec 工具组合,没有间隙或重叠。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/237468.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java--RSA非对称加密的实现(使用java.security.KeyPair)

文章目录 前言实现步骤测试结果 前言 非对称加密是指使用不同的两个密钥进行加密和解密的一种加密算法,调用方用使用服务方提供的公钥进行加密,服务方使用自己的私钥进行解密。RSA算法是目前使用最广泛的公钥密码算法。Java提供了KeyPairGenerator类要生…

2024年AMC8模拟考试实测流程、注意事项和常见问题

和往年的AMC8比赛一样,在正式比赛的前一周左右会开放两天的模拟考试时间,AMC8的主办方建议所有的参赛选手重视且参加模拟考试,以测试设备、熟悉流程,避免将来正式考试不小心违规,或者设备不给力。 2024年的AMC8模拟考…

OFBiz RCE漏洞复现(CVE-2023-51467)

漏洞名称 Apache OFBiz 鉴权绕过导致命令执行 漏洞描述 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式…

五、带登录窗体的demo

做了一个简单的带登录窗体的demo,有用户名和密码不能为空的验证,原理是在main.cpp的主函数入口处: 1、将默认的MainWindow主窗体注释。 2、新建一个formlogin登录窗体,在主函数中先运行登录窗体。 3、在登录窗体中引用MainWind…

Android json功能解析

1. 简介 JAVAScript Object Notation是一种轻量级的数据交换格式具有良好的可读和便于快速编写的特性。业内主流技术为其提供了完整的解决方案(有点类似于正则表达式 ,获得了当今大部分语言的支持)。  JSON采用兼容性很高的文本格式&#xf…

路由器02_静态路由DHCP

一、静态路由 1、静态路由特点 由管理员手工配置,是单向的,缺乏灵活性 2、默认路由 默认路由是一种比较特殊静态路由,一般用于末节(末梢)网络,直接指定目标为任何地方 二、静态…

nodejs+vue+ElementUi音乐分享社交网站77l8j

本文介绍的系统主要分为两个部分:一是前台界面:用户通过注册登录可以实现音乐播放、新闻浏览、留言评论等功能;另一个是后台界面:音乐网站管理员对用户信息进行管理,上传更新音乐资源,发布最新音乐资讯等功…

Casper Network (CSPR)2024 年愿景:通过投资促进增长

Casper Network (CSPR)是行业领先的 Layer-1 区块链网络之一,通过推出了一系列值得关注的技术改进和倡议,已经为 2024 年做好了准备。 在过去的一年里,Casper Network (CSPR)不断取得里程碑式的进展,例如推…

高性能RPC框架解密

专栏集锦,大佬们可以收藏以备不时之需: Spring Cloud 专栏:http://t.csdnimg.cn/WDmJ9 Python 专栏:http://t.csdnimg.cn/hMwPR Redis 专栏:http://t.csdnimg.cn/Qq0Xc TensorFlow 专栏:http://t.csdni…

linux安装系统遇到的问题

这两天打算攻克下来网络编程,发现这也确实是很重要的一个东西,但我就奇了怪了,老师就压根没提,反正留在我印象的就一个tcp/ip七层网络。也说正好,把linux命令也熟悉熟悉,拿着我大一课本快速过过 连接cento…

一个简易的PHP论坛系统

一个简易的PHP论坛系统 php课程设计,毕业设计 预览 技术 bootstrap 4.x jquery css php mysql 5.7 目录结构 登录 管理员 admin/123456 测试用户 user1/123456 更多文章和源码获取查看

【Java SE语法篇】8.面向对象三大特征——封装、继承和多态

📚博客主页:爱敲代码的小杨. ✨专栏:《Java SE语法》 ❤️感谢大家点赞👍🏻收藏⭐评论✍🏻,您的三连就是我持续更新的动力❤️ 文章目录 1. 封装1.1 封装的概念1.2 为什么封装1.3 封装的实现…

PingCAP 受邀参加 FICC 2023,获 Open100 世纪全球开源贡献奖

2023 年 12 月,2023 国际测试委员会智能计算与芯片联邦大会(FICC 2023)在海南三亚举办,中外院士和数十位领域专家莅临出席。 大会现场 ,开放源代码促进会创始人 Bruce Perens 颁发了 Open100 世纪全球开源贡献奖&…

C#,入门教程(17)——条件语句(if-else)的基础知识

上一篇: C#,入门教程(16)——可变数据类型(var)的基础知识与使用禁忌https://blog.csdn.net/beijinghorn/article/details/124032216 程序的核心是逻辑。 逻辑的核心是布尔条件表达式。 逻辑的主要体现形式之一是 if-else 语句…

鸿蒙开发已解决-arkts编译报错-arkts-limited-stdlib错误

文章目录 项目场景:问题描述原因分析:解决方案:适配指导案例此Bug解决方案总结项目场景: arkts编译报错-arkts-limited-stdlib错误。 我用Deveco studio4.0 beta2开发应用,报arkts-limited-stdlib错误 报错内容为: ERROR: ArKTS:ERROR File: D:/prRevivw/3792lapplica…

在线的货币兑换平台源码下载

在线的货币兑换平台,可帮助全球各地的个人和企业将货币从一种货币兑换为另一种货币。该货币兑换平台是 Codecanyon 中最先进的脚本。 源码下载:https://download.csdn.net/download/m0_66047725/88728084

【期末不挂科-C++考前速过系列P6】大二C++实验作业-模板(4道代码题)【解析,注释】

前言 大家好吖,欢迎来到 YY 滴C考前速过系列 ,热烈欢迎! 本章主要内容面向接触过C的老铁 主要内容含: 欢迎订阅 YY滴C专栏!更多干货持续更新!以下是传送门! YY的《C》专栏YY的《C11》专栏YY的《…

Center审计策略表安装和策略添加(事务)——(Linux/Windows版本)

本博客主要讲述Center的审计策略表安装和策略添加 使用事务添加 1、开启事务 my->StartTransaction(); 2、编写sql语句 //清除原来数据,防止数据污染my->Query("DROP TABLE IF EXISTS t_strategy");string sql "CREATE TABLE t_strategy (…

stm32学习笔记:DMA

每个DMA通道硬件触发源是不一样的,要使用某个外设的硬件触发源,就必须使用它连接的那个通道 12个独立可配置的通道:DMA1(7个通道),DMA2(5个通道) 每个通道都支持软件触发和特定的硬件触发 C8T6 DMA资源:DMA1 &#xff…