应用程序安全不再仅仅依赖检查清单

关键要点

• 2021 OWASP Top 10 移除了对具体安全漏洞的列举，强调安全设计的重要性。
• 现代软件开发需要将应用程序安全性纳入每个开发阶段，避免将其视为独立过程。
• 有效的 DevSecOps 需要将安全嵌入到开发与运营中，提升整个开发流程的安全性。
• 自动化的脆弱性测试和修复是确保安全的关键。
• 安全数据的可信度和可操作性是进行安全扫描的基石。

随着应用程序开发速度的加快，单纯依赖检查清单来保障安全已不再适用。2021 年 OWASP Top10的发布引发了安全社区的热议，它放弃了列举具体漏洞的做法，转而强调一个更战略性的安全弱点类别——不安全设计 。这一变化传递了一个明确的信息：在当前快节奏的开发环境中，不能将网络应用安全视为一个可独立处理的过程，只是简单地勾选诸如 SQL 注入 等常见漏洞。

现在，任何大型组织都至少会在一定程度上自行开发软件，依赖手动检查常见漏洞的 AppSec方法不仅效率低下，还可能导致潜在的安全风险。漏洞可能在生产环境中潜伏数月，直到下一次测试和修复进行时才被发现，从而使组织面临攻击风险。因此，最佳的网络应用安全实践是，在投入生产阶段时，确保软件没有已知漏洞，并将安全编码、应用安全测试和问题修复作为开发过程的一个组成部分。

有效 DevSecOps 的最佳实践基础

虽然 DevSecOps 成为了业界流行术语，但它完美地概括了在开发与运营中融入安全的理念，而非将其视为一个独立的阶段。就像 DevOps打破了开发与运营之间的传统界限一样，DevSecOps 应该理想地将应用程序安全作为 DevOps的一个重要组成部分。实现这个目标的关键在于如何在实际的环境、开发团队和发布计划中做到这一点。

通过观察 Invicti客户在网络环境中的有效实践，我们识别出了四个建立最佳网络应用安全策略的战略支柱。继续阅读以了解这些支柱，如果想深入了解，可以观看我们的 和阅读我们的 。

发现场景并进行全面测试

在理想的情况下，开发人员始终提供安全的代码，组织内的所有网络资产也会被仔细分类和管理。然而，现实中没有什么是万无一失的，你获得的关于网络环境的信息永远会有一些不确定性。即使是一个小小的安全缺陷，也足以让恶意黑客利用。因此，确保尽可能做到的唯一方式是不断监控网络环境，测试所有内容，并不轻易相信任何结果。

维护所有网站、应用程序和 API的中央库存以便于管理是最佳实践，但大多数组织仍对其真实的网络攻击面只有模糊的认识。一个大型组织可能拥有数百甚至数千个网络资产，包括网站、网络应用程序、网络服务和 。现代服务导向的应用程序往往会连接到数十个服务，并通过接口暴露其自身的功能，成比例地增加了攻击面。因此，自动化和持续的网络资产发现是任何网络安全计划的重要组成部分。

至于测试本身，你可以从多种方法和工具中进行选择，每种都有其优缺点。最终目标是确保生产环境中没有已知的安全问题，而实现这一目标的方式对于每个组织来说都是不同的。为了在多个应用程序、技术、架构和开发阶段取得一致的脆弱性扫描覆盖率，你至少需要高质量的动态应用程序安全测试（）和工作流程自动化，以跟上开发进程。

以开发的速度进行测试和修复

如今的开发团队面临着创新与按时