什么是安全工具泛滥?安全工具泛滥会破坏软件开发安全

Synopsys Editorial Staff

Nov 10, 2020 / 1 min read

安全工具的泛滥不仅使许多团队不堪重负,以至于无法对每个安全警报都一一响应。同时也会破坏软件的开发,甚至影响到安全性。但这并不意味着所有安全测试工具都不好,也不意味着只有一种工具是有用的。

事实上,在软件开发生命周期(SDLC)需要集成多种工具来建立安全性。这些工具至少应包括静态、动态和交互式分析安全测试,针对开源组件的软件组成分析(SCA),以及在应用程序开发末端、正式投入生产之前需要进行的渗透测试

什么是安全工具泛滥?

根据行业分析公司Enterprise Strategy Group (ESG) 报告显示,平均每家企业使用25至49款安全工具,这些工具由多达10个不同的供应商所提供。尽管其中一部分工具是用于监测IT基础架构,例如网络、终端、无线、身份等,但这样的情况也同样发生在从事软件开发的企业中。

调研机构Forrester451 Research也曾对安全工具泛滥情况进行分析,指出多达40%的企业承认其开发团队不堪安全警报的困扰,他们对其中至少25%的警报都无暇顾及。的确,当安全警报无休止地响起,它们就容易变成背景噪音而被忽略 – 这与安全警报本身的意义恰恰背道而驰。

根据行业分析公司Enterprise Strategy Group (ESG) 报告显示

如何应对安全工具过载

正确运用多种工具的方法应该是,在恰当的时间选择适合的工具,这样才能使安全性跟上软件开发的步伐。但是目前仍然存在一种观念认为如果使用一些工具可以提高软件安全,那么工具越多,安全就能提高越多。然而事实并非如此,如果开发团队面对过多的工具,并且无法在同一平台上协调运用它们,那么开发人员更有可能会忽略掉关键的警报。

工具过多还会造成受攻击面增大。《Dark Reading》上的一篇文章指出,那些通信不安全或不进行定期更新的工具,容易让黑客抓住漏洞有可乘之机。此外,任何拥有数十种安全工具的企业几乎都抱着多种目的来做同一件事。安全工具冗余会拖慢企业的软件开发,除了增加噪音,并不能带来有效的提升。

1、盘点您的安全工具

想要消除安全工具泛滥的情况,首要的是对所有的工具进行盘点和评估。了解有哪些工具以及它们的用途,确保都已经配置正确、部署好且是最新的。然后进行评估:这些工具发挥了应有的效用吗?是否有哪个工具正在做的事情有其他工具能做的更好?如果某个安全工具是劣质的、多余的,请立即弃用它。

2、确保您的工具是互补的

确保您的多种工具之间是可以相互协作的。如果一个工具无法与其余工具一起使用,就算它被认为是同类中最好的也于事无补。您的工具需要彼此配合并集成到您的工作流程中,这样更易将安全性嵌入并贯穿整个软件开发生命周期。

正如专家们所说,鼓励开发人员将安全融入到DevOps中的优先方法,是让这个融入的过程变得更加轻松。

3、将您的工具集成到工作流程中

让安全变得更容易,防止开发流程中安全工具过载,应该将所有安全工具集成到同一平台,并且带有仪表盘在运行时能够清晰标记出现的错误和其他潜在缺陷。这比迫使开发人员返回检查几周前编写的代码来处理您今天发现的问题效果要好得多。

Continue Reading