Last updated at Wed, 15 Mar 2023 19:33:03 GMT
每隔一段时间后退一步,了解一下地形总是一件好事. Like you, 我们一直在以极快的速度工作,以确保今天正在构建的web应用程序的安全,并为未来的创新做好准备. When Forrester put out The State of Application Security, 2022 report a few weeks ago, 我们认为现在是时候分享一下我们对AppSec未来发展方向的看法,以及我们对Forrester的看法.
Here are a few of the highlights.
Modern apps require end-to-end SDLC coverage
When we think of the software development life cycle (SDLC), there is always a key focus on “shifting left.” 这是有道理的:我们希望更早地发现安全漏洞以节省时间, money, and risk exposure in production. However, 如果说我们在过去12个月里从最近的突发威胁中学到了什么的话, 无论您多么努力地保护您的应用程序的预生产, 您仍然需要为业务关键型应用程序提供运行时保护. Forrester的报告指出,“到处转移”的想法似乎越来越受欢迎, 包括向左和向右移动. According to Forrester’s report, 58%的全球高级安全决策者计划今年增加他们的应用程序安全预算. 我们可以预期跨SDLC的工具支出将被优先化.
这方面的一个例子是最近的漏洞,如 Log4Shell and Spring4Shell -是在生产中采用软件组合分析(SCA). 而在预生产环境中发现和修复带有漏洞的第三方软件包绝对是至关重要的, 客户还将要求对开源库进行生产覆盖. Rapid7工具帮助我们的客户在运行时环境中检测易受攻击的第三方软件包. 你可以查看更多我们是如何帮助我们的客户做到这一点 this blog.
随着基础设施继续成为代码和现代开发技术(如容器)的采用, 与这些技术相关的风险也在增长. 这种应用程序开发的现代方法意味着对现代安全实践(如容器和IaC扫描)的投资是一流AppSec计划的关键.
APIs are growing, as is their risk
api是现代应用程序通信的方式. 几乎每个现代应用程序都使用一个或多个API——甚至是一个API. API的使用在全球范围内持续上升,攻击者已经开始注意到这一点. 从2020年12月到2021年1月,恶意API流量几乎翻了一番, Forrester reports.
api现在显然是组织不断增长的攻击面的一部分, 在接下来的几年里,它们的重要性将继续增长. 这意味着它们需要成为任何安全程序的关键组成部分. There are many ways to secure APIs, 包括主动扫描和监视它们的任何恶意活动.
Developers’ influence is increasing
在我们从开源软件组件的漏洞中所经历的威胁和开源占审计代码库75%的事实之间, 正如Forrester最新的应用程序安全状况报告所指出的那样, 我们看到越来越多的人需要将开发人员包括在安全决策中. 开发团队是关键的利益相关者——而且经常如此, 当涉及到要实现的安全工具和实践时,他们需要同样多的输入.
现代应用需要现代开发技术, 开发团队正在寻找与安全团队合作实现补偿控制的方法, without slowing down the speed of development. 我们可以继续期望开发团队对安全程序的影响会增加.
这些只是应用程序安全当前状态的几个亮点,以及今年将形成的趋势, next year, and years to come. As always, 我们将密切关注应用程序安全性的脉搏,并帮助推动实践向前发展,以帮助您保证组织的安全.
Additional reading:
