管理软件供应链中网络安全工具蔓延的三种方法

软件开发组织不断发展,团队成长,项目数量增加。技术堆栈发生变化,技术和管理决策变得更加分散。

在这一演变过程中,该组织的 AppSec 工具组合也在不断增长。在动态组织中,这可能会导致“工具蔓延”。庞大的 AppSec 工具组合包括许多单点解决方案,由不同的团队在不同的时间获取,以服务于不同的(或者在不知不觉中重叠的)目的。

庞大的工具导致数据孤岛具有不同的术语、分配规则和解决方案。这种情况会导致 IT 预算浪费,更糟糕的是,集成、确定优先级和解决威胁可能会非常耗时。

如果您的 AppSec 工具非常庞大,并且您觉得它已经超出了您有效管理它的能力,那么值得投入时间和精力来控制它。这样做将帮助您:

■ 获得从第一行代码到生产的软件供应链的完整可见性和端到端可追溯性。
■ 查看安全工具中存在差距或重叠的地方。
■ 通过消除不能产生增量价值的工具来节省资金。
■ 让安全成为开发过程中不可或缺的一部分,而不是事后才想到的。
■ 通过自动分类和优先级提高安全警报的信噪比。
■ 减少手动工作并自动执行保护操作,所有这些都在一个位置进行。

OX 的 Active ASPM 平台通过以下三种方式帮助您控制 AppSec 工具的蔓延,以便您可以最大限度地提高工具投资的保护、生产力和投资回报率:

1.集成安全警报以消除孤岛

要控制工具蔓延,您首先要解决的问题之一是缺乏可见性。这就是为什么您希望将工具中的警报集成到一个集中的位置。获得对安全问题的集中可见性可以使安全开发更快、更有效:

■ 提高信噪比;让开发人员专注于重要的问题。
■ 在开发过程中尽早发现安全问题。
■ 减少引发冗余或不合时宜的安全问题。
■ 避免因过度优先考虑卫生问题而延迟发布,
■ 查看跨工具的相关问题,表明存在真正的攻击杀伤链。

建造与购买

将 AppSec 工具中的安全问题集成到中央仪表板中是一个好主意。我们看到公司尝试在内部构建这些,但成功率很低。集成如此多的系统既昂贵又耗时。集中查看软件供应链安全问题的更快且更具成本效益的途径是通过交钥匙系统。寻找一个能够在一个易于查看的界面中为您提供所需所有信息的提供商。

以平台为例,正如您在上面的 OX 仪表板中看到的那样,聚合并显示了来自多个软件项目的多个工具的数千个问题。无论您是构建还是购买,拥有这种可见性都至关重要。这是下一步管理软件供应链中安全工具的先决条件。

2.自动进行问题分类、预防和解决

软件供应链中的工具发出数千个警报的情况并不罕见。它是如此嘈杂,以至于开发人员经常忽略警报。自动化可以通过提高警报信噪比以及自动升级和解决来解决优先级问题,从而实现更快、更安全的软件交付。 

为了让您了解可能性,让我们以 OX Security 为例,看看自动化如何在最大限度地减少环境噪音方面发挥重要作用…… 

自动进行问题分类和优先级排序

每次您创建新的构建时,OX 都会为该构建生成一个知识图,该知识图聚合了管道中的所有不同安全问题。OX 可以删除重复的问题,并根据潜在的业务影响对它们进行优先级排序。如下图所示,数千个原始警报集中到了几百个需要最紧急关注的警报:

优先风险和错误配置由 OX 组织,使用开源框架 OSC&R 作为上下文(稍后将详细介绍 OSC&R)。这使得每个人都更清楚问题的严重性和责任感。这种清晰度有助于在开发过程的早期消除严重的安全问题,并确保出于安全原因阻止发布的决策得到充分合理化并被团队理解。

自动解决和预防问题

安全工具蔓延的其他问题之一是问题的分配和解决不一致。像 OX 这样的平台可以通过自动化修复和工作流程来解决这个问题,还可以提供建议和解释来培训和授权您的团队: 

在编码和配置任务期间利用这种智能也很重要,而不仅仅是在构建过程之后被动地利用这种智能。寻找一个集成到开发人员的 IDE、CI/CD 和其他开发人员工具中的平台,以主动预防问题。这样做可以简化您的安全开发流程: 

3.使用 OSC&R 框架合理化您的工具组合

最后,您需要确保您使用的框架能够明确您需要保护的内容以及需要关注的威胁。如果您的整个软件供应链都有此功能,则可以将现有工具映射到其中,从而揭示风险覆盖范围中的重叠和差距。

好消息是这个框架已经存在。开放软件供应链攻击参考 ( OSC&R ) 是一项行业标准。它对软件供应链的作用就像Mitre ATT&CK对端点安全的作用一样。如下所示,OSC&R 记录了软件供应链各个部分可能的攻击点和机制: 

借助 OSC&R,您可以将 AppSec 工具映射到威胁,并就获取、保留或终止哪些工具做出更明智的决策。OX Security通过扫描您的环境和管道(从云到代码)来自动执行此操作。

扫描时,OX 会自动识别您正在使用哪些工具,以及是否应部署其他工具以最大限度地扩大覆盖范围。您现在应该拥有一个涵盖您的软件供应链的 AppSec 工具组合,没有间隙或重叠。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/620669.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Colab 谷歌免费的云端Python编程环境初体验

最新在学习AIGC的过程中,发现很多教程,demo使用到了Colab这个谷歌工具。 Colab 是什么? Google Colab是一个强大且免费的云端Python编程环境,为学生、研究人员和开发者提供了一个便捷的平台来开展数据科学、机器学习和深度学习项…

《最新出炉》系列入门篇-Python+Playwright自动化测试-9-页面(page)

1.简介 通过前边的讲解和学习,细心认真地小伙伴或者童鞋们可能发现在Playwright中,没有Element这个概念,只有Page的概念,Page不仅仅指的是某个页面,例如页面间的跳转等,还包含了所有元素、事件的概念&#…

redis夯实之路-主从复制详解

Redis中可以通过执行slaveof命令或者设置slaveof选项,让一个服务器区复制另一个服务器,被复制的为主服务器,复制的为从服务器。 复制 Redis中可以通过执行slaveof命令或者设置slaveof选项,让一个服务器区复制另一个服务器&#…

LLVM系列(1): 在微软Visual Studio下编译LLVM

参考链接: Getting Started with the LLVM System using Microsoft Visual Studio — LLVM 18.0.0git documentation 1.安装visualstudio,版本需要大于vs2019 本机环境已安装visual studio2022,省略 2安装Makefile,版本需要大…

C++力扣题目617--合并二叉树

给你两棵二叉树: root1 和 root2 。 想象一下,当你将其中一棵覆盖到另一棵之上时,两棵树上的一些节点将会重叠(而另一些不会)。你需要将这两棵树合并成一棵新二叉树。合并的规则是:如果两个节点重叠&#…

YOLOv5改进 | 二次创新篇 | 结合iRMB和EMA形成全新的iEMA机制(全网独家创新)

一、本文介绍 本文给大家带来的改进机制是二次创新的机制,二次创新是我们发表论文中关键的一环,为什么这么说,从去年的三月份开始对于图像领域的论文发表其实是变难的了,在那之前大家可能搭搭积木的情况下就可以简单的发表一篇论文,但是从去年开始单纯的搭积木其实发表论…

Spring Boot - JaCoCo Code Coverage

文章目录 概述如何集成pom添加插件Code Demo排除不相关的类CI/CD中使用完整POM 概述 JaCoCo(Java Code Coverage)是一个开源的Java代码覆盖率工具,它主要用于评估Java程序的测试完整性。通过跟踪测试过程中执行的代码,JaCoCo能够…

【期末不挂科-C++考前速过系列P6】大二C++实验作业-模板(4道代码题)【解析,注释】

前言 大家好吖,欢迎来到 YY 滴C考前速过系列 ,热烈欢迎! 本章主要内容面向接触过C的老铁 主要内容含: 欢迎订阅 YY滴C专栏!更多干货持续更新!以下是传送门! YY的《C》专栏YY的《C11》专栏YY的《…

大学期末考前复习卷(上)

第一题: 泰勒展开式求sin(x) 【问题描述】 已知sin(x)的泰勒展开式为: sin(x) x/1! - x^3/3! x^5/5! - x^7/7! …… 当某一项的绝对值小于ξ时,停止计算。 输入x及ξ的值,输出sin(x)的值,小数点后保留5位小数。…

第8章-第6节-Java中字符流的缓冲流

1、在说正题之前,先说一个小细节,不管是字节流还是字符流都要注意这个细节,具体看这篇博文:关于Java的IO流里面的方法read()的小细节 2、字符流的缓冲流: 1)、BufferedWriter 方法名说明void newLine()写…

文章解读与仿真程序复现思路——电网技术EI\CSCD\北大核心《与新能源互补和独立参加多级市场的抽蓄电站容量分配策略》

本专栏栏目提供文章与程序复现思路,具体已有的论文与论文源程序可翻阅本博主免费的专栏栏目《论文与完整程序》 这个标题涉及到抽蓄电站在能源系统中的角色,特别是在多级市场中的参与,并强调了新能源的互补性以及抽蓄电站的独立性。下面我将…

如何在企业中实施自适应人工智能?

人工智能不再是企业的选择。很快,它也将不再是一个区分因素。商业中的适应性人工智能正在改变格局。根据最近的统计数据,95%的企业以上都在追求人工智能。 因此,为了确保你拥有竞争优势,你必须期待先进的人工智能选项。适应性就是…

在线的货币兑换平台源码下载

在线的货币兑换平台,可帮助全球各地的个人和企业将货币从一种货币兑换为另一种货币。该货币兑换平台是 Codecanyon 中最先进的脚本。 源码下载:https://download.csdn.net/download/m0_66047725/88728084

超维空间S2无人机使用说明书——61、ROS无人机4G远程控制

4G模块使用说明 引言:为了实现对无人机的远程控制,我们采用了4G通信的方案,该方案需要硬件以及相关软件的支持。4G通信是可选择功能,请确认无人机型号是否选配了4G通信。 一、4G通信方案 我们的4G通信主要通过两种方式实现&…

openssl3.2 - 自己构建openssl.exe的VS工程(在编译完的源码版本上)

文章目录 openssl3.2 - 自己构建openssl.exe的VS工程(在编译完的源码版本上)概述笔记备注备注END openssl3.2 - 自己构建openssl.exe的VS工程(在编译完的源码版本上) 概述 将openssl3.2编译出来了(openssl3.2 - 编译) 安装后的openssl.exe可以干openssl3.2所有的事情, 用open…

电子学会C/C++编程等级考试2023年09月(四级)真题解析

C/C++编程(1~8级)全部真题・点这里 第1题:酒鬼 Santo刚刚与房东打赌赢得了一间在New Clondike 的大客厅。今天,他来到这个大客厅欣赏他的奖品。房东摆出了一行瓶子在酒吧上。瓶子里都装有不同体积的酒。令Santo高兴的是,瓶子中的酒都有不同的味道。房东说道:“你可以喝尽…

python统计分析——随机抽样(np.random.choice)

参考资料:用python动手学统计学,帮助文档 import numpy as np import pandas as pddata_setnp.array([2,3,4,5,6,7]) np.random.choice(data_set,size2) (1)a,数据源,用一列数据作为抽样的数据源。 &…

MySQL面试题 | 03.精选MySQL面试题

🤍 前端开发工程师(主业)、技术博主(副业)、已过CET6 🍨 阿珊和她的猫_CSDN个人主页 🕠 牛客高级专题作者、在牛客打造高质量专栏《前端面试必备》 🍚 蓝桥云课签约作者、已在蓝桥云…

如何做好项目进度估算?5个重点

在实际的IT 项目中,进度常常会出现延误的情况,其原因有很多。但是,我们需要关注一种情况,即我们的项目进度时间是如何估算出来的?是基于准确的数据和分析,还是由其他部门随意拍脑袋决定的?而进度…

Springboot + websocket 实现 一对一 单人聊天

Springboot websocket 实现 一对一 单人聊天 要使用websocket ,需要添加 jar 打开项目中的pom.xml,添加以下内容 创建java端代码 配置websocke的endpoints 配置websocket的server ServerEndpoint(value "/websocket/{username}") 这句话 一定要注意, 这里 路…