代码质量与安全 | 什么是应用程序防护?AppSec全解析

应用程序防护(AppSec)是有效且高效的安全措施,有助于帮助软件应用程序解决日益严重的安全威胁。本篇文章将讨论应用程序防护(AppSec)的原理、最佳实践以及您应该使用什么AppSec工具。

什么是AppSec?

AppSec指的是在硬件、软件和开发过程中,在应用程序层面查找、修复和防止安全漏洞的过程。它指导了包括对应用程序的设计与开发,以及整个生命周期(包括应用程序启动后)的安全措施。

上图是Perforce静态代码扫描工具Helix QAC对于ISO 26262(汽车)标准的详细说明。左边是ISO 26262的一些条款,右边放大的图中则是详细说明。针对低复杂度,可以使用圈复杂度和路径复杂度两个指标来衡量,也可以使用MISRA的规则,本书中都有详细说明。
另外,在申请合规认证时,还需要准备一系列材料。静态代码扫描工具的安全手册中已包括了这些材料,包括工具本身的认证证书、产品的认证报告、工具的覆盖率详情、如何适配认证规则的说明,以及生成报告的插件。通过合规指导书,静态代码扫描工具能够帮助我们更方便、更快速地通过行业的合规认证。
SAST常见部署场景
静态代码扫描工具有三个常见的部署场景。首先是在IDE中即时分析。利用静态代码扫描工具中的IDE插件进行即时分析,让开发人员能够边写代码边扫描代码。第二,在代码提交时,代码仓库可以触发流水线,进行增量/全量检查。第三,每天对主分支进行检查。我推荐将第一、二点作为可选项,第三点我希望作为企业的必选项。在每天对主要分支进行检查的同时,还可以设置一个质量门限。
另外,像MISRA这样的规则非常严苛,一开始就放开所有规则是不现实的,这样可能造成一行代码扫描出几十个错误的情况,导致开发阶段处理Bug的阻力很大。所以我的建议是,刚开始使用静态代码扫描工具时,先启用一些优先级较高的关键规则,从而降低阻力。当开发人员的质量意识提高后,再逐渐把规则调到更加严格。

AppSec最佳实践与AppSec工具

AppSec最佳实践应该从软件开发生命周期的开始就被整个产品团队采用。当整个团队参与并积极测试、识别和修复开发过程中的代码漏洞时,您就更有可能预防后续出现的安全问题。

将您的DevSecOps团队看做一个管弦乐队,AppSec工具就是您的乐器,最佳实践则是排练。您希望在正确的音准和时间演奏正确的音符,无缝协调,最终创造出美妙的音乐(理想的结果)。所有的工具、实践和流程共同协作,创建了应用程序防护和功能安全的整体图景。通过AppSec工具和最佳实践,您可以为成功打下基础。

遵循以下最佳实践,实现高效的软件应用程序防护:

  • 建立一个应用程序防护风险档案,以确定潜在的安全漏洞和弱点。这种方法可以帮助您评估潜在的风险,并对不同类型的应用程序进行优先排序,以帮助做出最有利于企业的战略安全决策。通过询问有关网络攻击者如何可能进入应用程序内部的问题,并将这些安全关键点记录到配置文件中,您可以避免在维护评估中重复同样的内容,并加速未来的风险评估;

  • 识别并消除软件应用程序中的安全漏洞。对您应用程序进行全面的风险评估,将有助于您在开发应用程序时识别和修复安全漏洞;

  • 识别并解决开源和第三方软件中的安全漏洞。这是一个重要的做法,因为对于应用程序来说,你只能做到这里了。一旦用户访问并与第三方软件交换数据,您还必须考虑到该软件中的潜在风险,并为此做好准备;

  • 使用正确的应用程序防护工具。现在,越来越多的数据和资源正在迁移上云,应用程序开发人员越来越依赖使用AppSec工具来指导安全的软件开发。使用正确的AppSec工具,您可以快速识别和修复软件中的漏洞,同时确保符合行业编码标准;

  • 为团队提供应用程序防护培训。如果您的整个团队都掌握了最新的知识和诀窍来识别应用程序代码中的常见弱点,那么您就能在开发过程中更早更快地发现问题,加速开发。将AppSec工具作为培训的一部分,也将有助于加快应用程序的上市时间。

采用应用程序防护最佳实践能够最大限度地降低风险、保护数据。

什么是AppSec工具?

为了确保你的应用安全措施是高效和有效的,你需要正确的工具。

SAST和DAST都能保护你的软件不受漏洞的影响,使DevSecOps过程变得更容易。以下是每种测试方法的优势:

  • SAST:也被称为“白盒测试”,是一种软件安全漏洞测试的类型。这种类型的工具会在您开发应用程序时分析源代码,检测并报告可能导致安全漏洞的弱点。通过使用此类工具,您可以在开发的早期识别安全漏洞;

  • DAST:也被称为“黑盒测试”,是一种软件安全漏洞测试的类型。这种类型的工具检测运行时指示安全漏洞的条件。通过使用这种类型的工具,您可以在开发周期的后期识别安全错误、运行时问题和环境相关问题。

除了使用静态分析器来测试您的代码外,还有许多其他的工具可以测试和保护应用程序和API,在本地或者在云上,提供应用程序SDLC中漏洞的完整的可追溯性。此外,您还可以使用现代的移动应用程序测试工具,帮助你像用户一样进行测试,并通过测试失败分析获得快速反馈。在整个开发工作流程中对应用程序进行持续的性能测试,让团队能够实现高质量的代码,并最大程度地减少可能导致安全问题的错误和漏洞。

AppSec的安全左移

在软件开发生命周期中,左移是许多开发人员采用的原则,可以在开发过程的早期阶段执行任务,而不是等到流程结束(或者等到线性开发时间线的“右边”)。

左移安全性,或者采取“左移方法”来执行安全性,意味着在软件开发生命周期的早期执行安全检查,或执行其他与安全相关的任务。

这种方法可以帮助应用程序开发人员提高效率,因为他们不需要频繁切换任务。让开发人员刚写完代码时就获得安全结果,他们可以立即进行更改,而不必等到检查代码并进行持续集成分析的时候才发现问题。

将安全措施应用到应用程序中,能够确保在产品处于开发阶段时仍有时间查找和修复漏洞,并提高开发人员对于常见漏洞和AppSec最佳实践的认知。

你的软件不受漏洞的影响,使DevSecOps过程变得更容易。以下是每种测试方法的优势:

  • SAST:也被称为“白盒测试”,是一种软件安全漏洞测试的类型。这种类型的工具会在您开发应用程序时分析源代码,检测并报告可能导致安全漏洞的弱点。通过使用此类工具,您可以在开发的早期识别安全漏洞;

  • DAST:也被称为“黑盒测试”,是一种软件安全漏洞测试的类型。这种类型的工具检测运行时指示安全漏洞的条件。通过使用这种类型的工具,您可以在开发周期的后期识别安全错误、运行时问题和环境相关问题。

除了使用静态分析器来测试您的代码外,还有许多其他的工具可以测试和保护应用程序和API,在本地或者在云上,提供应用程序SDLC中漏洞的完整的可追溯性。此外,您还可以使用现代的移动应用程序测试工具,帮助你像用户一样进行测试,并通过测试失败分析获得快速反馈。在整个开发工作流程中对应用程序进行持续的性能测试,让团队能够实现高质量的代码,并最大程度地减少可能导致安全问题的错误和漏洞。

AppSec编码标准

安全编码标准是一种规则和指南,主要用于识别、预防和消除可能损害软件安全性的软件漏洞。

  • CERT:CERT是一系列安全编码标准,针对C,C++和Java中可能导致安全风险的不安全编码实践和未定义的行为;

  • CWE:一个常见弱点的列举(CWE)列表,可识别C、C++、Java和C#中的软件安全漏洞;

  • DISA-STIG:DISA-STIG是一个技术软件安全发现的集合;

  • OWASP:开放网络应用程序防护项目(OWASP)确定了最大的网络应用程序防护风险。最受欢迎的OWASP资源是OWASP Top 10,它们是应用程序的10大关键安全风险;

  • ISO/IEC TS 17961:ISO/IEC TS 17961是C语言的安全编码标准,用于检测安全漏洞。

一个AppSec工具,如静态代码分析器,应该在开发周期的早期使用,以执行安全编码标准,以确保对潜在安全弱点采取最佳解决方案。

为什么Klocwork和Helix QAC是理想的AppSec工具

Klocwork静态应用程序防护测试(SAST)适用于C、C++、C#、Java、JavaScript、Python和Kotlin,可识别应用程序软件的安全性、防范性和可靠性问题,帮助强制执行安全编码标准。同时,它还提供了在编写代码时自动化源代码分析的能力。

此外,Klocwork的差异分析使您能够仅对已更改的文件执行快速增量分析,同时提供等同于完整项目扫描的结果。这在最大程度上缩短了分析时间。

Klocwork还提供了以下优势:

  • 在开发早期检测代码漏洞、合规性问题和规则冲突,有助于加快代码审查,加速开发人员的手动测试工作;

  • 强制执行行业和编码标准,包括CWE、CERT、OWASP和DISA STIG;

  • 报告不同时间、不同产品版本的合规性。

Perforce的另一个静态分析解决方案Helix QAC,可以帮助您轻松遵守安全编码标准,并在应用程序诊断中减少误报和漏报。它提供了广泛的覆盖范围和风险优先级,帮助您首先解决最重要的问题,并涵盖了CERT C、CWE(包括CWE Top 25)和ISO/IEC TS 17961(C Secure)等安全标准。

使用Validate指挥您的AppSec交响曲

Klocwork和Helix QAC的发现都可以导入Perforce的Validate平台,该平台是一个持续的安全和代码合规性平台,为所有的Perforce静态分析产品提供了一个统一的平台。借助Validate,您可以为嵌入式和关键任务应用程序提供功能安全性、防范性、可靠性和质量保证。

作为唯一可信数据源,Validate使您能够看到一组统一的报告,这些报告更全面地展示了应用程序的安全性。该平台还能够整合来自各种其他工具的发现成果,提取测试数据和静态分析结果,以在未覆盖的测试路径中识别代码中的关键缺陷。

正如DevSecOps团队就是管弦乐队一样,插入Validate的工具是独立的乐器,当它们汇集在一起时,创造出一部有凝聚力的交响乐,提升应用程序的整体性能和安全性。

作者简介:

Gordon Saladino

解决方案架构师,Perforce Klocwork

Gordon Saladino 在软件技术领域拥有 40 多年的经验。他将自己的技能和经验应用于软件产品的分析、设计、开发、调试、打包和交付。目前,他是Klocwork的解决方案架构师,提供售后技术客户管理服务,包括:规划、指导、生产部署、自定义配置、自定义集成、产品调优、动态问题解决、问题引用、培训、系统健康检查 、主动产品支持、ROI管理和客户关系管理。

文章来源:https://bit.ly/3NT75Bv

立即了解Validate+(Klocwork和Helix QAC)如何帮助您确保应用软件安全、可靠和高效,请联系Perforce中国授权合作伙伴——龙智

官网:www.shdsd.com

电话:400-666-7732

邮箱:marketing@shdsd.com

分享到: