譯者 | 李睿

審校 | 孫淑娟

軟件架構(gòu)師Bob和安全開(kāi)發(fā)工程師Alice是一家軟件開(kāi)發(fā)初創(chuàng)公司的成員。以下是他們之間關(guān)于開(kāi)發(fā)一套新的微服務(wù)的對(duì)話。  

Bob說(shuō)：“你聽(tīng)到通知了嗎？客戶交易已經(jīng)敲定。我們可以開(kāi)始為他們?cè)谠破脚_(tái)上使用的金融服務(wù)開(kāi)發(fā)分析應(yīng)用程序?！?   

Alice：“太棒了！那么應(yīng)該使用哪種編程語(yǔ)言構(gòu)建應(yīng)用程序？”  

Bob：“還沒(méi)有確定。它可以基于任何一種軟件編程語(yǔ)言，但更重要的是它必須是安全的。我們所有的系統(tǒng)及其應(yīng)用程序都應(yīng)該打上最新的安全補(bǔ)丁，并且軟件版本應(yīng)該始終以正確的配置運(yùn)行。  

我會(huì)通過(guò)電子郵件給你發(fā)送詳細(xì)的業(yè)務(wù)用例和技術(shù)要求。簡(jiǎn)而言之，它將是持續(xù)集成和交付的快速發(fā)展。那么你建議我們使用什么工具進(jìn)行端到端安全掃描？”

Alice說(shuō)：“當(dāng)然，我會(huì)向你發(fā)送一份工具清單，這些工具將使我們能夠在生產(chǎn)部署之前檢測(cè)和修復(fù)漏洞。我認(rèn)為需要有一種有前途的方法來(lái)掃描和消除代碼或應(yīng)用程序可能帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?！?nbsp; 

Bob說(shuō)：“太好了，我們更喜歡采用開(kāi)源掃描工具，但如果有的話，你可以列出對(duì)流行的第三方專(zhuān)有工具的見(jiàn)解?！? 

Alice開(kāi)始探索關(guān)于代碼掃描主題的各種現(xiàn)有資源。根據(jù)Bob提供的需求規(guī)范，她考慮了所有關(guān)鍵領(lǐng)域，例如代碼的靜態(tài)分析、面向互聯(lián)網(wǎng)的用戶界面（UI）和API端點(diǎn)的動(dòng)態(tài)分析以及依賴包的漏洞掃描。  

而幾天過(guò)去了，她仍然感到困惑，難以做出決定，因?yàn)榈玫降拇蟛糠中畔⒍际腔谟脩艚巧蛙浖捎眯砸?guī)范而不是以代碼為中心的，雖然這從開(kāi)發(fā)人員角度來(lái)看是有用的，并且可以適應(yīng)需求。  

以下將深入了解各個(gè)安全掃描工具內(nèi)容（這足以幫助Alice做出決定）。  

1.類(lèi)別  

以下是各種安全掃描工具的類(lèi)別：  

（1）SAST（靜態(tài)應(yīng)用程序安全測(cè)試），又名靜態(tài)掃描  

• 用于分析應(yīng)用程序源代碼以識(shí)別漏洞來(lái)源的白盒測(cè)試過(guò)程；通常在應(yīng)用程序開(kāi)發(fā)生命周期的編碼/質(zhì)量保證階段實(shí)施，從而能夠早期識(shí)別和緩解代碼中的漏洞。
• 確保應(yīng)用程序從設(shè)計(jì)階段就以強(qiáng)大且安全的方式構(gòu)建，并在投入生產(chǎn)之前符合安全編碼標(biāo)準(zhǔn)。
• 提供SAST的一些工具包括SonarQube、App Scan、IBM Code Risk Analyzer、Fortify Static Code Analyzer、WhiteSource等。
• 使用SAST工具之前，常用的評(píng)估標(biāo)準(zhǔn)是：

1. 支持所需的編程語(yǔ)言。
2. 誤碼率。
3. 漏洞檢測(cè)精度。
4. 詳細(xì)程度。
5. 代碼安全分析結(jié)果的清晰性。

（2）SCA（軟件組合分析），又名依賴項(xiàng)掃描  

• 跟蹤代碼庫(kù)中的開(kāi)源組件以檢測(cè)漏洞、潛在的安全和許可證合規(guī)性威脅，使團(tuán)隊(duì)能夠通過(guò)避免與IP、聲譽(yù)和費(fèi)用方面的沖突及早進(jìn)行補(bǔ)救。
• 當(dāng)靜態(tài)掃描檢測(cè)內(nèi)部開(kāi)發(fā)的專(zhuān)有源代碼中的漏洞時(shí)，軟件組合分析(SCA)執(zhí)行依賴掃描以識(shí)別開(kāi)源依賴中的漏洞、發(fā)現(xiàn)已棄用的依賴項(xiàng)，并評(píng)估數(shù)字簽名。它幾乎沒(méi)有誤報(bào)，掃描速度非?？?。不需要訪問(wèn)源代碼，可以在軟件開(kāi)發(fā)生命周期（SDLC）的任何階段進(jìn)行集成，甚至在后期部署。
• 一些提供SCA/依賴掃描的工具是White Source Software、GitLab、GitHub、Snyk和Jfrog Xray。
• 使用SCA工具之前常用的評(píng)估標(biāo)準(zhǔn)是：

1. 開(kāi)源組件及其漏洞的知識(shí)庫(kù)。
2. 支持各種編程語(yǔ)言。
3. 掃描速度。
4. 易于使用報(bào)告的分析結(jié)果。
5. 開(kāi)發(fā)生命周期各個(gè)階段的集成能力。

（3）DAST（動(dòng)態(tài)應(yīng)用程序安全測(cè)試），又名動(dòng)態(tài)掃描/Web應(yīng)用程序掃描  

• 這是一個(gè)黑盒測(cè)試過(guò)程，用于通過(guò)滲透測(cè)試識(shí)別應(yīng)用程序Web端點(diǎn)的漏洞，并且無(wú)法訪問(wèn)其源代碼，通常在構(gòu)建應(yīng)用程序的質(zhì)量保證（QA）和預(yù)生產(chǎn)階段執(zhí)行。它探索應(yīng)用程序運(yùn)行狀態(tài)，并檢查其對(duì)由該工具進(jìn)行的模擬攻擊的響應(yīng)，這將有助于確定應(yīng)用程序是否易受攻擊，以及是否可能面臨真正的惡意攻擊的風(fēng)險(xiǎn)。
• 適合檢測(cè)身份驗(yàn)證和配置問(wèn)題；獨(dú)立于應(yīng)用程序使用的語(yǔ)言和平臺(tái)。
• 一些提供動(dòng)態(tài)掃描的工具是OWASP ZAP、App Scan、Netsparker和Detectify。
• 使用DAST工具之前常用的評(píng)估標(biāo)準(zhǔn)是：

1. 支持API測(cè)試。
2. 認(rèn)證掃描。
3. DevSecOps（作為CI/CD管道的一部分完全自動(dòng)化運(yùn)行的能力）。

（4）IAST（交互式應(yīng)用安全測(cè)試）  

• IAST是一種結(jié)合了SAST和DAST優(yōu)點(diǎn)的混合測(cè)試方法。IAST通過(guò)在運(yùn)行時(shí)使用代理和傳感器檢測(cè)應(yīng)用程序來(lái)分析漏洞。與DAST不同，IAST可以查看整個(gè)代碼庫(kù)，并可以指向代碼的確切易受攻擊位置。此外，與SAST不同，它能夠捕獲錯(cuò)誤配置等運(yùn)行時(shí)問(wèn)題，并且誤報(bào)率最低。
• 提供IAST的一些工具是Veracode和Netsparker。
• 使用IAST工具之前常用的評(píng)估標(biāo)準(zhǔn)是：

1. 支持的技術(shù)。
2. 易于報(bào)告和分析的詳細(xì)程度。
3. 執(zhí)行速度。
4. 準(zhǔn)確度極低/無(wú)誤報(bào)的結(jié)果。

（5）數(shù)據(jù)庫(kù)安全掃描  

• 通過(guò)檢查數(shù)據(jù)庫(kù)的內(nèi)部和外部配置（如身份驗(yàn)證、機(jī)密性、完整性和可用性）來(lái)識(shí)別數(shù)據(jù)庫(kù)應(yīng)用程序中的漏洞的過(guò)程。
• 其中一些工具是Scuba、Zenmap和SQLRecon。

2.工具  

（1）WhiteSource Scan

WhiteSource具有SAST和SCA功能來(lái)執(zhí)行代碼的安全掃描。SAST能力可用于檢測(cè)源代碼中的漏洞，SCA可用于檢測(cè)開(kāi)源依賴項(xiàng)中的漏洞。WhiteSource幫助開(kāi)發(fā)人員修復(fù)漏洞。它與Jenkins、Bamboo、AzureDevOps、GIT和TFS集成。  

（2）SonarQube

SonarQube是一個(gè)用于檢查代碼質(zhì)量的開(kāi)源平臺(tái)，并與GitHub、BitBucket、GitLab、Maven、Gradle、Travis、Jenkins、Bamboo和Azure DevOps集成。SonarQube可以測(cè)量關(guān)鍵指標(biāo)，包括錯(cuò)誤、代碼缺陷、安全漏洞和重復(fù)代碼。SonarQube支持創(chuàng)建SonarQube插件，這有助于自定義代碼規(guī)則。  

（3）IBM CRA  

Code Risk Analyzer獲取所有基于Git的代碼、配置和部署工件，構(gòu)建依賴關(guān)系圖，并運(yùn)行合規(guī)性控制檢查管道。它會(huì)生成一個(gè)物料清單(BOM)文件，其中列出了所有第三方操作系統(tǒng)包和應(yīng)用程序包的依賴關(guān)系。它會(huì)發(fā)現(xiàn)物料清單(BOM)文件中列出的包中的漏洞。Code Risk Analyzer僅支持IBM Cloud?Continuous Delivery托管的github.com存儲(chǔ)庫(kù)、Git存儲(chǔ)庫(kù)和問(wèn)題跟蹤存儲(chǔ)庫(kù)。它可以啟用CRA來(lái)掃描拉取請(qǐng)求和合并。  

（4）HCL AppScan

HCL AppScan是一個(gè)全面的、基于云的應(yīng)用程序安全解決方案，與構(gòu)建環(huán)境、DevOps工具和IDE集成。AppScanon Cloud提供一整套測(cè)試技術(shù)（SAST、DAST、IAST和開(kāi)源）以提供最廣泛的覆蓋范圍。它可以使用AppScan UI設(shè)置誤報(bào)。  

（5）Gosec

Gosec是一個(gè)安全工具，可以對(duì)Golang項(xiàng)目的安全漏洞進(jìn)行靜態(tài)代碼分析。Gosec通過(guò)將所有源代碼加載到AST（抽象語(yǔ)法樹(shù)）中來(lái)工作，并應(yīng)用一組內(nèi)置規(guī)則來(lái)查找常見(jiàn)錯(cuò)誤，例如代碼中的秘密。它允許用//#nosecG101G102識(shí)別誤報(bào)。  

（6）OWASP ZAP  

Zed Attack Proxy（ZAP）是一種免費(fèi)的、開(kāi)源的動(dòng)態(tài)掃描工具，由開(kāi)放式Web應(yīng)用程序安全項(xiàng)目（OWASP）維護(hù)。ZAP專(zhuān)為Web應(yīng)用程序的滲透測(cè)試而設(shè)計(jì)。它設(shè)置警報(bào)過(guò)濾器以設(shè)置誤報(bào)。  

3.工具比較

結(jié)論  

盡管Alice之前沒(méi)有操作安全掃描工具的經(jīng)驗(yàn)，但她不想嘗試每種工具，因?yàn)樗鼈儠?huì)為原型新軟件應(yīng)用程序環(huán)境帶來(lái)集成問(wèn)題的成本。  

安全掃描工具的選擇是團(tuán)隊(duì)必須做出的重要決定。調(diào)查結(jié)果將進(jìn)一步導(dǎo)致關(guān)鍵決策，例如在安全掃描失敗的情況下阻止代碼交付，或在動(dòng)態(tài)代碼掃描的情況下，記錄可審計(jì)的可追溯過(guò)程以確認(rèn)測(cè)試的安全接受（即接受或忽略錯(cuò)誤正數(shù)）。

而了解這些工具比較的細(xì)節(jié)之后，Alice將這些工具推薦給Bob，而這些工具很快就能入圍。

對(duì)于Bob來(lái)說(shuō)，顯著避免使用不良的掃描工具比找到最好的工具更重要。Alice和Bob為此都很高興，因?yàn)榭梢怨?jié)省更多的時(shí)間，讓他們專(zhuān)注于實(shí)際業(yè)務(wù)需求開(kāi)發(fā)產(chǎn)品。

原文標(biāo)題：??Take Control of Your Application Security??，作者：Josephine E. Justin，Deepika Kothamasu，Swathi Pemmaraju