譯者 | 李睿

審校 | 孫淑娟

軟件架構師Bob和安全開發(fā)工程師Alice是一家軟件開發(fā)初創(chuàng)公司的成員。以下是他們之間關于開發(fā)一套新的微服務的對話。  

Bob說：“你聽到通知了嗎？客戶交易已經敲定。我們可以開始為他們在云平臺上使用的金融服務開發(fā)分析應用程序。”    

Alice：“太棒了！那么應該使用哪種編程語言構建應用程序？”  

Bob：“還沒有確定。它可以基于任何一種軟件編程語言，但更重要的是它必須是安全的。我們所有的系統(tǒng)及其應用程序都應該打上最新的安全補丁，并且軟件版本應該始終以正確的配置運行。  

我會通過電子郵件給你發(fā)送詳細的業(yè)務用例和技術要求。簡而言之，它將是持續(xù)集成和交付的快速發(fā)展。那么你建議我們使用什么工具進行端到端安全掃描？”

Alice說：“當然，我會向你發(fā)送一份工具清單，這些工具將使我們能夠在生產部署之前檢測和修復漏洞。我認為需要有一種有前途的方法來掃描和消除代碼或應用程序可能帶來的網(wǎng)絡安全風險?！?nbsp; 

Bob說：“太好了，我們更喜歡采用開源掃描工具，但如果有的話，你可以列出對流行的第三方專有工具的見解?！? 

Alice開始探索關于代碼掃描主題的各種現(xiàn)有資源。根據(jù)Bob提供的需求規(guī)范，她考慮了所有關鍵領域，例如代碼的靜態(tài)分析、面向互聯(lián)網(wǎng)的用戶界面（UI）和API端點的動態(tài)分析以及依賴包的漏洞掃描。  

而幾天過去了，她仍然感到困惑，難以做出決定，因為得到的大部分信息都是基于用戶角色和軟件可用性規(guī)范而不是以代碼為中心的，雖然這從開發(fā)人員角度來看是有用的，并且可以適應需求。  

以下將深入了解各個安全掃描工具內容（這足以幫助Alice做出決定）。  

1.類別  

以下是各種安全掃描工具的類別：  

（1）SAST（靜態(tài)應用程序安全測試），又名靜態(tài)掃描  

• 用于分析應用程序源代碼以識別漏洞來源的白盒測試過程；通常在應用程序開發(fā)生命周期的編碼/質量保證階段實施，從而能夠早期識別和緩解代碼中的漏洞。
• 確保應用程序從設計階段就以強大且安全的方式構建，并在投入生產之前符合安全編碼標準。
• 提供SAST的一些工具包括SonarQube、App Scan、IBM Code Risk Analyzer、Fortify Static Code Analyzer、WhiteSource等。
• 使用SAST工具之前，常用的評估標準是：

1. 支持所需的編程語言。
2. 誤碼率。
3. 漏洞檢測精度。
4. 詳細程度。
5. 代碼安全分析結果的清晰性。

（2）SCA（軟件組合分析），又名依賴項掃描  

• 跟蹤代碼庫中的開源組件以檢測漏洞、潛在的安全和許可證合規(guī)性威脅，使團隊能夠通過避免與IP、聲譽和費用方面的沖突及早進行補救。
• 當靜態(tài)掃描檢測內部開發(fā)的專有源代碼中的漏洞時，軟件組合分析(SCA)執(zhí)行依賴掃描以識別開源依賴中的漏洞、發(fā)現(xiàn)已棄用的依賴項，并評估數(shù)字簽名。它幾乎沒有誤報，掃描速度非?？臁２恍枰L問源代碼，可以在軟件開發(fā)生命周期（SDLC）的任何階段進行集成，甚至在后期部署。
• 一些提供SCA/依賴掃描的工具是White Source Software、GitLab、GitHub、Snyk和Jfrog Xray。
• 使用SCA工具之前常用的評估標準是：

1. 開源組件及其漏洞的知識庫。
2. 支持各種編程語言。
3. 掃描速度。
4. 易于使用報告的分析結果。
5. 開發(fā)生命周期各個階段的集成能力。

（3）DAST（動態(tài)應用程序安全測試），又名動態(tài)掃描/Web應用程序掃描  

• 這是一個黑盒測試過程，用于通過滲透測試識別應用程序Web端點的漏洞，并且無法訪問其源代碼，通常在構建應用程序的質量保證（QA）和預生產階段執(zhí)行。它探索應用程序運行狀態(tài)，并檢查其對由該工具進行的模擬攻擊的響應，這將有助于確定應用程序是否易受攻擊，以及是否可能面臨真正的惡意攻擊的風險。
• 適合檢測身份驗證和配置問題；獨立于應用程序使用的語言和平臺。
• 一些提供動態(tài)掃描的工具是OWASP ZAP、App Scan、Netsparker和Detectify。
• 使用DAST工具之前常用的評估標準是：

1. 支持API測試。
2. 認證掃描。
3. DevSecOps（作為CI/CD管道的一部分完全自動化運行的能力）。

（4）IAST（交互式應用安全測試）  

• IAST是一種結合了SAST和DAST優(yōu)點的混合測試方法。IAST通過在運行時使用代理和傳感器檢測應用程序來分析漏洞。與DAST不同，IAST可以查看整個代碼庫，并可以指向代碼的確切易受攻擊位置。此外，與SAST不同，它能夠捕獲錯誤配置等運行時問題，并且誤報率最低。
• 提供IAST的一些工具是Veracode和Netsparker。
• 使用IAST工具之前常用的評估標準是：

1. 支持的技術。
2. 易于報告和分析的詳細程度。
3. 執(zhí)行速度。
4. 準確度極低/無誤報的結果。

（5）數(shù)據(jù)庫安全掃描  

• 通過檢查數(shù)據(jù)庫的內部和外部配置（如身份驗證、機密性、完整性和可用性）來識別數(shù)據(jù)庫應用程序中的漏洞的過程。
• 其中一些工具是Scuba、Zenmap和SQLRecon。

2.工具  

（1）WhiteSource Scan

WhiteSource具有SAST和SCA功能來執(zhí)行代碼的安全掃描。SAST能力可用于檢測源代碼中的漏洞，SCA可用于檢測開源依賴項中的漏洞。WhiteSource幫助開發(fā)人員修復漏洞。它與Jenkins、Bamboo、AzureDevOps、GIT和TFS集成。  

（2）SonarQube

SonarQube是一個用于檢查代碼質量的開源平臺，并與GitHub、BitBucket、GitLab、Maven、Gradle、Travis、Jenkins、Bamboo和Azure DevOps集成。SonarQube可以測量關鍵指標，包括錯誤、代碼缺陷、安全漏洞和重復代碼。SonarQube支持創(chuàng)建SonarQube插件，這有助于自定義代碼規(guī)則。  

（3）IBM CRA  

Code Risk Analyzer獲取所有基于Git的代碼、配置和部署工件，構建依賴關系圖，并運行合規(guī)性控制檢查管道。它會生成一個物料清單(BOM)文件，其中列出了所有第三方操作系統(tǒng)包和應用程序包的依賴關系。它會發(fā)現(xiàn)物料清單(BOM)文件中列出的包中的漏洞。Code Risk Analyzer僅支持IBM Cloud?Continuous Delivery托管的github.com存儲庫、Git存儲庫和問題跟蹤存儲庫。它可以啟用CRA來掃描拉取請求和合并。  

（4）HCL AppScan

HCL AppScan是一個全面的、基于云的應用程序安全解決方案，與構建環(huán)境、DevOps工具和IDE集成。AppScanon Cloud提供一整套測試技術（SAST、DAST、IAST和開源）以提供最廣泛的覆蓋范圍。它可以使用AppScan UI設置誤報。  

（5）Gosec

Gosec是一個安全工具，可以對Golang項目的安全漏洞進行靜態(tài)代碼分析。Gosec通過將所有源代碼加載到AST（抽象語法樹）中來工作，并應用一組內置規(guī)則來查找常見錯誤，例如代碼中的秘密。它允許用//#nosecG101G102識別誤報。  

（6）OWASP ZAP  

Zed Attack Proxy（ZAP）是一種免費的、開源的動態(tài)掃描工具，由開放式Web應用程序安全項目（OWASP）維護。ZAP專為Web應用程序的滲透測試而設計。它設置警報過濾器以設置誤報。  

3.工具比較

結論  

盡管Alice之前沒有操作安全掃描工具的經驗，但她不想嘗試每種工具，因為它們會為原型新軟件應用程序環(huán)境帶來集成問題的成本。  

安全掃描工具的選擇是團隊必須做出的重要決定。調查結果將進一步導致關鍵決策，例如在安全掃描失敗的情況下阻止代碼交付，或在動態(tài)代碼掃描的情況下，記錄可審計的可追溯過程以確認測試的安全接受（即接受或忽略錯誤正數(shù)）。

而了解這些工具比較的細節(jié)之后，Alice將這些工具推薦給Bob，而這些工具很快就能入圍。

對于Bob來說，顯著避免使用不良的掃描工具比找到最好的工具更重要。Alice和Bob為此都很高興，因為可以節(jié)省更多的時間，讓他們專注于實際業(yè)務需求開發(fā)產品。

原文標題：??Take Control of Your Application Security??，作者：Josephine E. Justin，Deepika Kothamasu，Swathi Pemmaraju