目录

定义

应用程序安全编排和关联 (ASOC) 是应用程序安全 (AppSec) 解决方案的一种类别,通过工作流自动化来简化漏洞测试和修复工作。ASOC 解决方案从各种 AppSec 来源(如 SAST、DAST 和 IAST 工具)收集数据,并将这些数据整合到单个数据库中。然后,ASOC 解决方案将这些结果关联起来,对关键修复工作进行优先排序。安全团队利用最终结果,能够以明智、高效的方式简化其 AppSec 活动。

ASOC 的优点是什么?

从更高层面上讲,ASOC 最具影响力的优势在于其能够提高 DevSecOps 的效率。敏捷开发需要更快的速度和更多的工具,如何对资源和修复活动进行高效管理给安全团队带来了巨大的挑战。ASOC 在帮助应对这些挑战方面发挥着关键作用。

更具体而言,ASOC 通过多种方式让安全工作获得改善:

  • 改进资源分配:将 ASOC 引入开发环境可提供关键修复优先级信息,而不会影响现有实践活动。AppSec 工具揭示了大量漏洞,其中一些漏洞可能是误报,并不需要代码修复。这会导致识别出来的问题过多,需要进行评估来确定这些问题是否确实需要注意。ASOC 解决方案可提供关键结果优先级信息,从而节约资源和成本。
  • 集中式漏洞管理:尽管开发环境中使用的每个 AppSec 工具在保护组织应用程序方面发挥着重要作用,但它们均以不同的格式提供结果展示。此外,多个工具发现的可能是同一个问题。消除所有 AppSec 工具获得的结果是十分耗时的,而且会导致开发速度放缓。借助 ASOC 解决方案,将来自多个 AppSec 工具和手动测试的分析结果进行汇总,对不同工具识别的相同问题进行去重,并在一个中枢平台中自动关联和优先处理所有剩余结果。
  • 更好地了解风险:ASOC 解决方案使 CISO 和开发能够快速识别应用程序组合中风险最高的项目。它还提供指标数据,显示团队在一段时间内执行漏洞管理和 AppSec 活动的表现。使用这些指标,团队能够了解他们在保护应用程序方面的表现如何,并相应地进行调整。
  • 连续和自动扫描:不同于手动扫描应用程序,ASOC 解决方案可安排组织使用的所有安全工具进行自动扫描。工具的频率和具体操作都可以在 ASOC 解决方案中进行定义和设置。这样就无需进行逐个或单个的扫描活动。
  • 自动化 AppSec 流程:ASOC 解决方案可实现自动化,轻松地设置跨团队的工作流。安全工程师和开发人员会在某些事情超出他们商定的流程范围时自动得到通知,而非依赖于他们之间的沟通。

ASOC 如何弥合 AppSec 和 CI/CD 之间的差距?

一个常见的 AppSec 问题是漏洞管理和持续集成/持续开发 (CI/CD) 管道相分离。ASOC 解决方案能够将多个来源的集成测试结果整合到一个工具中,将结果关联起来,并优先处理高风险漏洞,从而帮助弥合这一差距。这让开发人员能够在不降低开发速度的情况下,在 CI/CD 管道内协调安全。


ASOC 对 AppSec 的未来意味着什么?

随着对安全团队的要求不断增长,在帮助减轻安全团队和开发团队所承受的漏洞过载方面,ASOC 无疑将发挥越来越关键的作用。在现有管道中提供连续和自动化扫描,ASOC 解决方案提供单一来源,以便安排公司所使用的所有工具的自动化扫描。与 AppSec 的未来前景息息相关的可能是公司转而采用 ASOC 作为其唯一可信源,并利用它来有效且高效地管理 AppSec 产品组合。


Synopsys 如何提供帮助?

Synopsys 智能编排

智能编排帮您能够在正确的时间执行正确的测试,并向正确的人员提供正确的结果。它提供定制化的 AppSec 管道,从而在整个软件开发生命周期中自动执行安全测试。它根据代码更改的重要性、总风险评分和公司自己的安全策略自动运行相应的安全工具或者触发人工测试活动。

Synopsys Code Dx

Code Dx 是 ASOC 解决方案,可帮助您在不影响安全或速度的前提下始终处于创新前沿 — 所有这些都通过自动化的力量得以实现。

它能够以可扩展、可重复和自动化的方式集中和协调所有开发管道中的应用程序安全测试。Code DX 汇总、关联,然后确定结果的优先顺序。

Code Dx Correlation Engine 可将所有 AppSec 扫描工具(静态和动态、商用和开源)的结果结合在一起并且去重和关联,从一个集中控制台中更有效地管理漏洞,从而减少修复问题所花费的时间。

通过优先排序结果和能够跟踪修复,团队将承担起责任,并且关键利益相关者能够轻松了解组织在安全职责方面的表现。

想要详细了解我们的产品及其提供的帮助,请访问
www.synopsys.com/blogs/software-security/intelligent-orchestration-code-dx-integration/


继续阅读

解决方案
应用程序安全编排和关联解决方案

汇总、关联并优先处理来自 appsec 测试工具的结果

博客
Code Dx 为 Synopsys 带来独特功能

了解 Code Dx 如何添加软件漏洞关联、优先级次序和风险报告

解决方案
应用程序安全编排和关联解决方案

IO 定制 AppSec 管道,以在整个 SDLC 中自动执行测试

博客
通过 IO 合作伙伴集成来消除 DevOps 中的摩擦

查看 Atlassian、CloudBees Jenkins、GitHub Actions 和 SonarQube 的 IO 合作伙伴集成

博客
通过 Intelligent Orchestration 实现大规模、快速的 DevSecOps

了解 IO 如何优化 DevOps 工具链内的 AppSec 测试。​

博客
借助 Intelligent Orchestration 将安全性融入 DevOps

了解如何使用 SAST 和 SCA 解决方案在 DevOps 中构建安全性。