海云安受邀参加2023CAS大会(持续应用安全)

发布于:2023-04-20 ⋅ 阅读:(458) ⋅ 点赞:(0)

图片


CAS(持续应用安全)是集SCA,黑、白、灰盒,Fuzzing,RASP,MAST(移动应用安全检测)和ASOC于一体的软件供应链安全新思路,是业界首个最为完整的开发安全整体解决方案,为了和行业用户以及业内同仁进行更多的沟通与交流,CAS大会于2023年4月13日在北京隆重召开。海云安受邀出席此次大会,并在会上发表关于敏捷SCA核心能力观点。


持续应用安全(CAS)是基于我国软件供应链安全现状所诞生的一种解决方案,是DevSecOps理念框架在我国商业市场的落地实践,致力于解决敏捷性思想在数字时代提出的安全保障需求。主要针对软件供应链中数字化应用的开发以及运行方面的安全问题,是安全能力原子化(离散式制造、集中式交付、统一化管理、智能化应用)在软件供应链安全上的应用。


持续应用安全(CAS)专注于保障数字化应用的,源代码阶段-构建部署阶段-上线运行阶段,全流程的安全状态。持续应用安全(CAS)方案可以通过安全能力高度融合和安全数据关联分析的方式,经由统一调度管理形成体系化的解决方案,以达到帮助用户减少资源投入、整合安全能力和提升安全效率的目的。

图片李少鹏 数世咨询创始人

会上,数世咨询创始人、CAS技术共同体发起人李少鹏在致辞中表示国内外软件供应链安全方面的风险问题,目前仍没有完善的体系化解决方案以应对。聚焦到软件开发和应用安全,也就是持续应用安全(CAS)的范畴。在全球,尤其是国内市场环境下,有如下两个显著特点:

1、为了应对高速增长和不同需求的研发场景,行业用户已经拥有了多种不同的安全检测和防护工具,但他们之间缺乏连通性,不仅统一管理难度大,而且无法达到安全效能叠加的目的。

2、单点安全能力具有突出优势的安全工具,对中小规模企业来说,存在投入产出比持续降低的现象。对于大型企业,同样如此,但是由于安全投入在信息化整体投入里始终处于微小的一部分,最重要的是某些安全工具是为了匹配业务合作的需要,故这部分增加的成本对于大型企业来说就变得微不足道。

针对白盒及开源组件的检测能力、修复方案及工具的易用性,海云安杨海龙也阐述了自己的观点。


图片



海云安敏捷SCA核心能力与落地

前企业在敏捷场景下,使用开源进行软件开发成为主要开发模式。开源因为其便利性成为当前软件开发中不可或缺的部分。全球各行业开源应用均占据较高比例。开源在各行业的应用逐渐加深,开源组件成为各行业信息系统的重要组成。


另一方面,开源安全风险复杂且影响广泛,主要包括三个方面:信息安全、知识产权和供应链安全。因此也急需相应的开源组件工具识别、管理、追踪开源风险。


海云安SCA工具介绍

持续应用安全(CAS)现阶段主要聚焦于源代码阶段-构建部署阶段-上线运行阶段,因为这三个阶段是代码到业务的具体实现过程,他们之间的流程操作性是最强的,也是安全性工作对企业收益最大化的环节。源代码阶段,主要安全手段为SCA、SAST;构建部署阶段主要安全手段为和上线运行阶段主要安全手段为DAST、IAST、RASP和一些其他工具,其中SCA是对开源风险进行安全防护的工具。   


根据Gartner报告对SCA工具的定义:SCA工具通常在开发过程中对应用程序进行分析,以检测开源软件组件是否带有已知的漏洞,例如具有可用安全补丁程序的过期库,以及需要相应授权许可(法律风险)的商业软件或第三方产品。


SCA基础能力包括:

1、软件成分分析  2、漏洞分析与修复  3、许可证分析  4、漏洞预警


兼容能力包括:

1、兼容主流语言  2、兼容多种包管理器  3、可对接多种第三方工具。


SCA工具的核心能力包括:

1、全面的检测能力   2、完整的修复方案  3、工具的易用性


海云安高敏捷信创白盒

随着互联网和信息技术的迅速发展,我国的网络安全问题日益严峻,政府对此也越来越重视,相继出台了《网络安全法》、《数据安全法》等一系列政策法规保障我国网络空间安全。而应用安全是目前网络安全的重要组成部分,数据显示75%的攻击是针对程序自身的漏洞,同时产生的危害较为严重,因此应用安全是网络安全治理的最佳切入点。另一方面,在应用开发阶段进行安全检测能更早发现问题、解决问题,大量节省修复成本并提升修复效率。对此,我们需要高效的开发安全工具和治理方法,实现安全左移。而SAST白盒工具就是最佳的开发安全工具之一,因为它能够对源代码层级的安全漏洞进行检测,检测阶段更靠近开发阶段,也更符合安全左移理念。


高敏捷信创白盒介绍

海云安高敏捷信创白盒(SCAP)是新一代的源代码检测分析系统,在开发阶段准确检测和定位源代码中的安全漏洞、质量缺陷,帮助企业及早完成整改闭环。

可以检测软件项目源代码的构成、来源和风险,统计以自主化率为核心的多维度数据指标,并输出检测报告。


产品具有低误报率和高检测速率的特性,适应敏捷开发、DevOps工作流,在几乎不影响流水线过程的前提下,有效降低安全风险和成本。


工具优势

1.低误报率

传统白盒误报率高达30%~40%,企业不得不投入大量人力、时间进行人工去误报,在DevOps高频发版交付体系下,人工环节往往成为阻塞点。高敏捷信创白盒通过检测引擎的升级和对工具的适配后,可将误报率控制在5%以下,这就帮助企业去除了人工除误报的环节,大量节省了时间和人力,加速整改节奏。


2.高检测速率

传统白盒的检测速率一般为5k-10k 行/分钟,这样的速率对于某些大型项目而言完全不符要求,检测时间可达一两天,这对于企业而言是不可接受的。高敏捷信创白盒通过对引擎的升级使得检测速率可达50k-100k行/分钟。在这个速率下,大多数项目检测能在10分钟内完成,极大地加快整改-复测节奏。


3.代码自主化率检测

目前,国家在大力推行国产信创自主化改革,各行业都在响应政策,实施国产化替代。高敏捷信创白盒提供对代码自主率的检测,可对组件以外的代码进行溯源,识别来自外部来源(如第三方库)提供的代码片段。该功能可帮助企业识别自研代码和外部代码,适配信创国产化需求。


4.灵活的使用模式

高敏捷信创白盒提供两种检测模式,快速检测模式和全量检测模式。快速检测对增量代码进行检测,全量检测模式对全量代码进行检测,满足企业不同检测需求。


5.更适配DevSecOps

高敏捷信创白盒可与Git仓库、CI/CD流水线、多种第三方工具平台进行对接。其高自动化、高易用性的特质可帮助企业在开发阶段快速、无感地融入安全能力,实现DevOps到DevSecOps的快速转型。


落地案例

一、案例项目背景

某大型银行持续探索推进DevOps体系与安全能力的融合,经过多年的实践,形成了一套“独立安全运营平台+检测工具/检测能力”高度自动化安全赋能体系,而其中的一大重点难点是针对源代码安全性的白盒检测工具的引进和运营自动化。


二、项目关键挑战和分析

传统白盒检测产品内生问题:

(1)误报率较高,规则误报率一般在30%-40%。此外,研发或者安全人员还会面对一定数量的业务层误报(即报告的代码缺陷存在,但在项目具体环境中难以被利用和攻击)。

(2)检测速度慢,一般在1万行/分钟。大型项目检测通常需要数个小时,甚至超过1天;对于100万行以上的项目检测,可能会出现系统卡顿甚至检测任务中断现象,拖慢检测-整改-复测节奏。

传统白盒检测的治理模式问题:

(1)由于误报率高,所以在研发真正实施修复前,一般会由安全人员投入大量的人力过滤误报;再加上检测速度慢,经常会拖延研发团队的版本发布节奏。

(2)从研发侧视角来看,传统白盒检测带来了两方面延时:人工过滤误报时间、大型项目中非常可观的系统检测时间,影响研发部门相关绩效。

(3)所以在传统白盒引入安全运营的实践中,研发部门更倾向于将白盒检测修复意见作为次要的业务层需求,不断挑战安全部门,甚至常态化旁路,白盒

检测和问题修复的落实效果差。

问题分析:

传统白盒产品难以在DevOps研发体系中很好落实的本质是产品的内生问题(误报率高、检测速度慢),引发了跨部门的安全治理难题,致使白盒检测落地效果差。因此,寻找适应敏捷开发模式的白盒产品,并相应的改变治理模式,实现安全运营自动化、研发整改低负担是关键。


三、项目解决方案

产品特性方面,海云安敏捷白盒解决了传统白盒的内生问题:

(1)应用误报过滤引擎,规则误报率可稳定在5%以下,研发可直接自查整改,不需要前置人工排除误报环节;

(2)应用快速检测引擎和多并发机制,单个项目100万行内的检测一般5-20分钟完成;即使数百万行或更大规模的检测项目,也不会出现系统卡顿;

调整治理模式,由“安全推动,研发响应”转变为“安全赋能,研发自治” :

(1)检测发起:由安全部门发起,改为研发自助发起;

(2)检测结果去误报:因为敏捷白盒的检测误报率很低,所以直接由研发在系统中查看整改即可。安全部门定期组织安全编码培训,帮助研发人员识别误报,并提高安全编码意识和技能。

(3)安全卡点管理:将白盒检测漏洞的整改完成情况定量管理,并入安全卡点,不达标不过关。


如此,安全团队的工作重心调整为服务和赋能研发;研发团队可自检自测,快速高效的修复源代码中存在的安全漏洞,提升项目代码质量,提前避免风险。


四、项目收益

-规则误报率达到5%以下

-检测用时少于5分钟的任务达94%

-累计检测任务数80W+

-高危漏洞整改数60W+


五、客户评价

“作为我行开发安全工作合作伙伴,贵公司积极作为,联合创新打造了集自动化检测工具敏捷白盒、资源管理、安全门禁、安全度量等一体的开发安全运营平台,有效保障研运平台中的开发项目100%经过白盒安全检测,实现了安全人员的“0介入”,为我行的软件开发持续安全保障作出优秀的贡献。