如今，軟件主宰著世界，但仍然是一個巨大的、可訪問的攻擊面。2022年，估計(jì)有60億美元投資于應(yīng)用安全，預(yù)計(jì)到2023年，這一數(shù)字將達(dá)到75億美元。在應(yīng)用安全內(nèi)部，軟件供應(yīng)鏈安全兩年前就開始受到關(guān)注，這是應(yīng)用安全增長最快的攻擊類別，經(jīng)常發(fā)生重大漏洞和利用事件。

在此背景下，在不久的將來，應(yīng)用程序安全性將出現(xiàn)一些相關(guān)的大趨勢。首先，在預(yù)生產(chǎn)開發(fā)環(huán)境中，開發(fā)管道越來越復(fù)雜，并且依賴于第三方。其次，應(yīng)用程序安全和云安全之間的協(xié)同作用日益增強(qiáng)。這兩個趨勢定義了未來的安全挑戰(zhàn)和我們對現(xiàn)代應(yīng)用程序安全的預(yù)測。

1.云安全與應(yīng)用安全將開始融合

在云中運(yùn)行的應(yīng)用程序的安全狀態(tài)主要由云配置和應(yīng)用程序代碼決定。多年來，云安全和應(yīng)用程序安全作為獨(dú)立的安全問題運(yùn)行。然而，把它們放在一起看的好處正變得越來越明顯:

（1）統(tǒng)一態(tài)勢:應(yīng)用程序風(fēng)險(xiǎn)是云和應(yīng)用程序安全態(tài)勢的結(jié)合。例如，應(yīng)用程序代碼漏洞和承載應(yīng)用程序的云服務(wù)的錯誤配置都是確定攻擊面的基礎(chǔ)。它們是不可分割的，應(yīng)該一起分析和優(yōu)先排序。

（2）場景:漏洞修復(fù)的優(yōu)先級由云和應(yīng)用程序場景驅(qū)動。例如，由面向互聯(lián)網(wǎng)的服務(wù)暴露的代碼中的漏洞可能比內(nèi)部服務(wù)中不可訪問的代碼漏洞更需要修復(fù)。當(dāng)您同時(shí)擁有應(yīng)用程序和云場景時(shí)，有許多機(jī)會了解哪些漏洞對業(yè)務(wù)最關(guān)鍵。

（3）補(bǔ)救:有機(jī)會將在運(yùn)行時(shí)發(fā)現(xiàn)的漏洞追溯到預(yù)生產(chǎn)開發(fā)環(huán)境中的代碼更改和所有者。將整個鏈鏈接在一起——從代碼到云——有助于快速確定問題的根本原因，更有效地修復(fù)它，在某些情況下還可以自動修復(fù)。

將云安全與應(yīng)用程序安全結(jié)合在一起是安全觀念的轉(zhuǎn)變。安全解決方案將繼續(xù)融合，這將為組織提供機(jī)會，將應(yīng)用安全和云安全工程師的職責(zé)合并，并提高效率和有效性。

2.開源軟件更加安全

如果沒有數(shù)百個(或更多)第三方組件，幾乎不可能發(fā)布軟件。然而，開源生態(tài)系統(tǒng)不斷受到攻擊，人們試圖通過隱藏的代碼插入、排字搶注和其他一些技術(shù)來操縱開源庫和組件。

為了跟上這些持續(xù)不斷的網(wǎng)絡(luò)犯罪創(chuàng)新，新的舉措正在進(jìn)行中，將額外的安全控制引入開源生態(tài)系統(tǒng)。我們期望看到:

軟件開發(fā)公司對開源驗(yàn)證的需求增加，包括信譽(yù)檢查、真實(shí)性檢查和持續(xù)的漏洞掃描。

開源存儲庫(例如NPM)將對上傳的軟件提出更高的安全標(biāo)準(zhǔn)，以加強(qiáng)組織的檢查控制，從代碼簽名開始。

更多第三方將包括軟件材料清單(SBOM)，可以在使用前進(jìn)行驗(yàn)證。

軟件安全度量的可用性不斷增加，以及用于在SDLC中和部署之前驗(yàn)證軟件使用的更通用的工具集將變得更加普遍。

3.代碼工廠攻擊面將繼續(xù)擴(kuò)大

針對開發(fā)人員、代碼或構(gòu)建系統(tǒng)的攻擊大幅增加(根據(jù)一些來源，每年增長460-660%)，增長是巨大的。最近的事件包括OKTA的源代碼被盜，豐田的漏洞始于一個承包服務(wù)通過源代碼暴露敏感機(jī)密，大規(guī)模的LastPass漏洞始于一個受侵害的開發(fā)人員，等等。

由于我們構(gòu)建軟件的現(xiàn)代方法:分布式工作人員、多個系統(tǒng)和插件、使用許多訪問密鑰、令牌、機(jī)器帳戶和自動化，SDLC作為一個攻擊面繼續(xù)增長。這些都不會很快改變，只是變得更加復(fù)雜、異構(gòu)和分布式。

在LegitSecurity，當(dāng)我們運(yùn)行價(jià)值證明(PoV)項(xiàng)目時(shí)，我們會在潛在客戶環(huán)境中直接發(fā)現(xiàn)巨大的多樣性和漏洞范圍。我們發(fā)現(xiàn)和緩解的大多數(shù)安全問題都是由于誠實(shí)的錯誤或安全知識的差距造成的。例如，我們不斷發(fā)現(xiàn)流氓構(gòu)建服務(wù)器和工件存儲，要么是遺留的，要么是由快速移動的開發(fā)團(tuán)隊(duì)快速生成的，它們是完全開放的，并且包含敏感的源代碼和密碼。

現(xiàn)在的預(yù)生產(chǎn)開發(fā)攻擊面太廣、太脆弱、目標(biāo)太豐富。不幸的是，預(yù)測2023年將發(fā)生更多涉及軟件供應(yīng)鏈漏洞的事件——從惡意篡改到代碼盜竊，再到開發(fā)系統(tǒng)的敏感數(shù)據(jù)泄露等等。

4.安全軟件遵從性和SBOM

在SolarWinds受到攻擊后，美國政府已經(jīng)開始要求供應(yīng)商包括一份簽署的SBOM，并為安全軟件開發(fā)框架(SSDF)進(jìn)行審計(jì)。2023年，我們預(yù)計(jì)將看到:

當(dāng)軟件交付時(shí)，對應(yīng)用安全的需求增長，而不僅僅是針對美國政府消費(fèi)者。越來越多的買家將要求他們的軟件供應(yīng)商提供SBOM，越來越多的供應(yīng)商將提供SBOM供下載。

企業(yè)將尋求在其管道中實(shí)現(xiàn)代碼簽名和認(rèn)證生成，以滿足SSDF的完整性要求。

B2B安全評估將需要更多安全開發(fā)實(shí)踐的證據(jù)，并要求安全護(hù)欄、控制和自動漏洞掃描的證據(jù)。

5.通過安全問題場景實(shí)現(xiàn)更智能的優(yōu)先級

有一個悖論——使用現(xiàn)代開發(fā)堆棧的安全和開發(fā)團(tuán)隊(duì)遭受“漏洞疲勞”。安全問題的數(shù)量是無法忍受的，它們產(chǎn)生的噪音分散了團(tuán)隊(duì)的注意力，減慢了他們試圖分類和/或修復(fù)所有問題的速度。例如，當(dāng)一個普通的容器映像立即產(chǎn)生數(shù)百個漏洞時(shí)——實(shí)際上，您應(yīng)該怎么做?

通常情況下，安全團(tuán)隊(duì)面臨著一個不可能的選擇。漏洞掃描器的可用性和功能以及社區(qū)中的安全知識是巨大的(這是一件令人驚訝的事情)——但人們一致認(rèn)為優(yōu)先級是一場噩夢。“CVSS已死”這個詞最近被廣泛引用。

團(tuán)隊(duì)正在尋找更聰明的方法來確定優(yōu)先級。對更智能的安全態(tài)勢管理的需求不斷增長——這可以通過依賴于應(yīng)用程序場景的更全面的風(fēng)險(xiǎn)方法來實(shí)現(xiàn)。因此，我們看到了“代碼到云”安全方法解決這個問題的一個強(qiáng)有力的例子——能夠理解應(yīng)用程序的準(zhǔn)確解剖結(jié)構(gòu)，并將代碼風(fēng)險(xiǎn)與其運(yùn)行時(shí)(云)特征聯(lián)系起來。這為有意義的優(yōu)先級集中提供了很好的機(jī)會。

例如，安全工程師在看到安全問題時(shí)可以問自己的第一個問題是——“這個東西是可利用的嗎?”，或者“這是外露的嗎?”，甚至“這段代碼在哪里運(yùn)行，這是處理敏感數(shù)據(jù)的業(yè)務(wù)關(guān)鍵型應(yīng)用程序的一部分嗎?”將看到更多的團(tuán)隊(duì)和更多的安全解決方案改變他們看待漏洞的方式，以及團(tuán)隊(duì)如何選擇專注于問題并降低其他問題的優(yōu)先級。

6.文化變更:應(yīng)用程序發(fā)布治理的執(zhí)行需求

應(yīng)用程序發(fā)布時(shí)仍然存在漏洞，這是事實(shí)。組織開始意識到問題不在于檢測漏洞的能力，而在于實(shí)施安全有效的端到端發(fā)布流程的能力。

現(xiàn)代的方法需要更多的開發(fā)人員參與，包括“安全冠軍”程序，并向左移動以包括更多的自動化安全掃描。在一天結(jié)束的時(shí)候，安全和開發(fā)團(tuán)隊(duì)仍然對安全的發(fā)布負(fù)責(zé)，他們現(xiàn)在面臨著更廣泛的挑戰(zhàn):如何構(gòu)建一個安全的應(yīng)用程序開發(fā)管道。

這樣做的壓力已經(jīng)開始從上到下。c級對演示保證每個軟件部署安全的有效發(fā)布過程的需求正在增加。我們稱這種需求為“釋放治理”。

安全團(tuán)隊(duì)將尋找方法:

1.定義一個考慮到應(yīng)用程序場景的整體發(fā)布策略。

2.在管道中構(gòu)建一個補(bǔ)救工作流。

3.對安全的生產(chǎn)前開發(fā)環(huán)境的覆蓋范圍和有效性具有實(shí)時(shí)可見性，具有跟蹤所有權(quán)、提供風(fēng)險(xiǎn)報(bào)告和調(diào)優(yōu)的能力。

我們預(yù)測，隨著時(shí)間的推移，這種更全面的應(yīng)用程序安全范式將占據(jù)主導(dǎo)地位。安全團(tuán)隊(duì)將推動更多的自動化和開發(fā)協(xié)作，但安全的新優(yōu)先事項(xiàng)將是獲得過程的可見性和控制，以確保安全的應(yīng)用程序發(fā)布——強(qiáng)調(diào)跨團(tuán)隊(duì)的報(bào)告和問責(zé)制。

現(xiàn)代應(yīng)用程序的未來-從不無聊的時(shí)刻

應(yīng)用程序安全是一場貓捉老鼠的游戲，充斥著快速變化、創(chuàng)新的攻擊和利用，以及不斷發(fā)展的安全解決方案。一些更大的趨勢正在發(fā)生，將永久性地改變這一動態(tài)格局。

應(yīng)用安全與云安全將更加緊密。第三方軟件的安全性將升級，包括對消費(fèi)者的信任機(jī)制。安全漏洞的處理方式正在發(fā)生更大的轉(zhuǎn)變——首先是利用基于代碼到云可追溯性的場景風(fēng)險(xiǎn)，其次是將重點(diǎn)從分類問題轉(zhuǎn)移到擁有真正的發(fā)布治理。

人們受益于一個運(yùn)行在軟件上的世界，而軟件的安全性對我們所有人都至關(guān)重要。合法安全平臺在這里幫助迎來這個更安全的未來。這是為了現(xiàn)代應(yīng)用安全的未來，以確保一個安全可靠的世界。