摘要：是一個(gè)有趣的實(shí)例，他們使用的是自動(dòng)化技術(shù)，同時(shí)結(jié)合了自動(dòng)化工作流程進(jìn)行人工檢查，從而保證零誤報(bào)率，且業(yè)務(wù)邏輯測(cè)試達(dá)到的類覆蓋率。

而今，大多數(shù)應(yīng)用都依賴于像入侵防護(hù)系統(tǒng)（Instrusion Prevention System）和 Web 應(yīng)用防火墻（Web Application Firewall，以下全文簡(jiǎn)稱 WAF）這樣的外部防護(hù)。然而，許多這類安全功能都可以內(nèi)置到應(yīng)用程序中，實(shí)現(xiàn)應(yīng)用程序運(yùn)行的自我保護(hù)。

實(shí)時(shí)應(yīng)用自我保護(hù)（以下全文簡(jiǎn)稱 RASP），是一個(gè)應(yīng)用程序運(yùn)行時(shí)環(huán)境的組成部分，它可以實(shí)現(xiàn)為 Java 調(diào)試界面的擴(kuò)展。RASP 可以檢測(cè)到應(yīng)用程序在運(yùn)行時(shí)試圖往內(nèi)存中寫入大量數(shù)據(jù)的行為，或者是否存在未經(jīng)授權(quán)的數(shù)據(jù)庫(kù)訪問(wèn)。同時(shí)，它具有實(shí)時(shí)終止會(huì)話、和發(fā)出告警等功能。WAF 和 RASP 的合作相輔相成，WAF 可以檢測(cè)到潛在的攻擊，而 RASP 可以通過(guò)研究應(yīng)用內(nèi)部的實(shí)際響應(yīng)數(shù)據(jù)來(lái)驗(yàn)證潛在的攻擊是否具有威脅性。

毋庸置疑，內(nèi)置于應(yīng)用程序的RASP，比那些只能獲取 App 有限的內(nèi)部進(jìn)程信息的外接設(shè)備更加強(qiáng)大。

說(shuō)到協(xié)同安全智能，筆者認(rèn)為協(xié)同安全的意義是不同應(yīng)用安全技術(shù)間的協(xié)作或集成。

動(dòng)態(tài)應(yīng)用程序安全測(cè)試（以下全文簡(jiǎn)稱 DAST） + 靜態(tài)應(yīng)用程序安全測(cè)試（以下全文簡(jiǎn)稱 SAST）：DAST 不需要訪問(wèn)代碼并且易于實(shí)現(xiàn)。另一方面，SAST 需要訪問(wèn)代碼，但是對(duì)應(yīng)用程序的內(nèi)部邏輯了解更為深入。這兩種測(cè)試技術(shù)各有利弊，但是兩種測(cè)試結(jié)果的關(guān)聯(lián)和結(jié)合，能極大提高安全測(cè)試的價(jià)值：即他們不僅可以降低誤報(bào)率，也可以發(fā)現(xiàn)更多安全漏洞，從而提高測(cè)試效率。

SAST + DAST + WAF（即靜態(tài) + 動(dòng)態(tài)應(yīng)用程序安全測(cè)試 + Web 應(yīng)用防火墻）：這個(gè)組合可以把 SAST 或 DAST 技術(shù)檢測(cè)到的安全漏洞提供給 WAF 作為輸入信息。這些漏洞信息可以用來(lái)創(chuàng)建特定的規(guī)則集，從而 WAF 甚至可以在修復(fù)方案實(shí)施之前制止漏洞帶來(lái)的攻擊。

SAST + DAST + SIM / SIEM（安全事故管理/安全事故事件管理，以下全文對(duì)應(yīng)簡(jiǎn)稱 SIM 或 SIEM）：通過(guò) SAST 或 DAST 檢測(cè)到的漏洞信息對(duì)于 SIM 或 SIEM 的關(guān)聯(lián)引擎是非常有價(jià)值的。這些漏洞信息可以提供更加準(zhǔn)確的漏洞關(guān)聯(lián)信息和攻擊監(jiān)測(cè)。

WAF + RASP（即 Web 應(yīng)用防火墻 + 實(shí)時(shí)應(yīng)用自我保護(hù)）：WAF 和 RASP 的作用是互補(bǔ)的。WAF 提供的信息可由 RASP 驗(yàn)證，從而幫助提供更精確的偵測(cè)信息，并預(yù)防攻擊。

「大一統(tǒng)」：最后終有一天，以上提及的所有檢測(cè)手段，甚至更多手段，都可以組合在一起供企業(yè)使用，實(shí)現(xiàn)「真·安全智能體系」。

筆者認(rèn)為，這里「混合」的意思是用一種結(jié)合自動(dòng)和人工測(cè)試的方式「超越安全顧問(wèn)們可以做到的極限」，以此實(shí)現(xiàn)更高的擴(kuò)展性、更準(zhǔn)確的可預(yù)測(cè)性和更高的成本效益。

DAST 和 SAST，兩者都有自身的局限性。其中，兩個(gè)主要的問(wèn)題是誤報(bào)率和業(yè)務(wù)邏輯測(cè)試。網(wǎng)絡(luò)測(cè)試只需在一段已知的代碼中發(fā)現(xiàn)已知的漏洞，然而和網(wǎng)絡(luò)測(cè)試不同的是，應(yīng)用程序測(cè)試面對(duì)的是未知代碼。這使得漏洞偵測(cè)模式變得非常不同，更加難以實(shí)現(xiàn)自動(dòng)化測(cè)試。所以，你只好從安全咨詢?nèi)藛T或內(nèi)部安全專家處獲得最好的解決方案。然而，這種模式不具備可擴(kuò)展性。比如，世界上有超過(guò)十億個(gè)應(yīng)用程序等待測(cè)試，在這種情況下，地球上并沒(méi)有足夠多的專家進(jìn)行測(cè)試。

其實(shí)，這不是一個(gè)關(guān)于「人類 vs. 機(jī)器」的問(wèn)題，而是關(guān)于「人類和機(jī)器」的問(wèn)題。未來(lái)的趨勢(shì)是自動(dòng)化和人工驗(yàn)證的智慧結(jié)合。iViZ 是一個(gè)有趣的實(shí)例，他們使用的是自動(dòng)化技術(shù)，同時(shí)結(jié)合了「自動(dòng)化工作流程」進(jìn)行人工檢查，從而保證零誤報(bào)率，且業(yè)務(wù)邏輯測(cè)試達(dá)到 100% 的WASC 類覆蓋率。事實(shí)上，iViZ 收費(fèi)固定，并且提供無(wú)限制的應(yīng)用程序安全測(cè)試服務(wù)，而其邊際利率高于市面上其他 SaaS 企業(yè)的平均水平。

筆者相信「服務(wù)化 -aaS」模型的理由很簡(jiǎn)單：我們之所以需要技術(shù)并不是為了技術(shù)，而是為了解決問(wèn)題。換句話說(shuō)，我們需要的是解決方案和服務(wù)。隨著人們?cè)絹?lái)越注重「核心競(jìng)爭(zhēng)力」，大家感到獲取服務(wù)比購(gòu)買產(chǎn)品更有意義，「幫你搞定」比「你自己動(dòng)手」更有意義（當(dāng)然，也會(huì)有些例外）。

現(xiàn)在我們有 SASTaas、DASTaaS 和 WAFaaS。幾乎所有事情都可以服務(wù)化。事實(shí)上，Gartner 已經(jīng)為「應(yīng)用程序安全即服務(wù)」創(chuàng)建了多帶帶的技術(shù)成熟度曲線。

應(yīng)用程序安全作為服務(wù)有許多好處：降低固定運(yùn)營(yíng)成本，幫助專注于核心競(jìng)爭(zhēng)力，解決人才獲取和留存的問(wèn)題，降低運(yùn)營(yíng)管理費(fèi)用等更多的益處。

現(xiàn)在，是時(shí)候考慮安全產(chǎn)品開(kāi)發(fā)生命周期以后的問(wèn)題了。曾幾何時(shí)，我們看到許多力量都在推動(dòng)安全和軟件開(kāi)發(fā)生命周期的結(jié)合，筆者相信，這個(gè)行業(yè)已經(jīng)取得了一些不錯(cuò)的進(jìn)展。未來(lái)的趨勢(shì)仍是這樣，但是是從結(jié)合「安全 + 開(kāi)發(fā) + 運(yùn)維」的角度去做。設(shè)計(jì)、開(kāi)發(fā)、測(cè)試直到生產(chǎn)、管理、維護(hù)和運(yùn)維，這一整條線索，應(yīng)該無(wú)縫地與重中之重——即安全，密切結(jié)合?，F(xiàn)今，開(kāi)發(fā)與運(yùn)維之間仍有一條「安全之路」要走，然而這條「路」將隨安全生命周期的日趨集成化而漸漸模糊。

原文地址：http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss

如今，多樣化的攻擊手段層出不窮，傳統(tǒng)安全解決方案越來(lái)越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)，使其免受漏洞所累。想閱讀更多技術(shù)文章，請(qǐng)?jiān)L問(wèn) OneAPM 官方技術(shù)博客。
本文轉(zhuǎn)自 OneAPM 官方博客