由 COVID-19 大流行引起的大規模轉向遠程工作，提高了許多組織對彈性應用安全實踐的需求。

除了應對這些天應用程序發布的大量和頻率之外，應用程序安全團隊現在還必須應對與遠程工作和簽入來自全球各地的代碼相關的挑戰。

隨著應用程序每周、每天甚至每小時發布到生產環境中，DevSecOps 中的“秒”確實從未像現在這樣相關或重要。是時候確保您的應用安全方法具有網絡彈性了。這里有五個需要關注的領域。

1.自動化

自動化對于網絡彈性至關重要。您需要利用工具，以使應用安全解決方案盡可能無接觸和流程驅動。理想情況下，任何可以自動化的東西都應該是自動化的，而彈性系統將允許這樣做。事實上，一個有彈性的系統不僅會允許它，而且還會推動自動化。

想象一下未來的環境，如果您需要突然掃描 1,000 個應用程序，您可以自動增加處理該容量所需的掃描儀數量。如果容量發生變化并且您不再需要那么多掃描儀，那么您的系統就足夠智能，可以解決這個問題并自動降低數量。

在一個真正有彈性的系統中，自動化將允許開發人員編寫和提交代碼，并且掃描就會發生。你不應該做任何事情。系統會自動刪除您無法修復的內容、在您的環境中不重要的內容、或您的 KPI 和類似性質的內容。這幾乎就像您踩下汽車的油門踏板一樣。有很多事情要做，但你不需要知道引擎除了它所做的任何事情。這是相當強大的。

最終，目標應該是擁有像拼寫檢查器一樣自我修復的代碼。我們還沒有到那一步，但有一天會有足夠的智能讓你相信系統可以自行修復問題。

2. 有可操作的結果

您的應用安全計劃應專注于推動測試結果的可操作性。它應該以您今天需要關注的事情為中心。從歷史上看，當您真正需要的只是與組織和您相關的問題列表時，應用程序安全解決方案傾向于為您提供要解決的問題的清單。

一個有彈性的系統將專注于你今天需要解決的 10 件事，而不是你可能需要隨著時間的推移解決的 1000 件事。它使用智能來識別可能影響或阻止您投入生產的問題。

可操作性是自動化的一部分。這意味著開發人員可以編寫一些代碼，而在幕后對代碼進行評估并盡快顯示相關且需要修復的內容。這就像從一匹馬和一輛馬車變成一輛特斯拉。

3.支持更頻繁的掃描

您將代碼安全地發布到生產環境中的能力以及遙測的速度在很大程度上取決于您能夠掃描應用程序的頻率。您需要應用程序安全性的彈性，因為您擁有更多應用程序并且您正在更頻繁地掃描它們。這給應用安全團隊、開發人員和 CISO 帶來了很大壓力。

彈性系統支持可擴展的掃描容量，從 1 次掃描到 1+n 次。雖然可擴展性與掃描儀數量和您擁有的應用程序數量有關，但彈性系統中的頻率與您掃描這些應用程序的頻率有關。

例如，如果您使用 GitHub 并且您每天掃描或提交 20 次，則您需要有一個足夠有彈性的系統來處理該頻率。這是關于具有突發功能，可以在達到閾值時打開更多掃描，而無需打電話給某人或去尋找其他產品。比如說，你只需在 Docker 中啟動另一個容器，就完成了。

4. 覆蓋范圍廣

現代 Web 應用程序非常受 Web 服務驅動，您擁有的 Web 服務和 API 越多，應用程序的風險就越大。彈性是指擁有一個應用安全解決方案，它不僅可以解決您現在正在做的事情，而且還具有應對未來挑戰的靈活性和可擴展性。

您的解決方案需要與云無關，并具有涵蓋本地和 SaaS 環境的靈活性。它應該能夠快速支持新的語言和框架。覆蓋面廣度意味著支持企業現在和未來需要掃描的各種語言。大多數企業不僅僅擁有 .NET 或 Java，它們還擁有數十種語言。

如果您從 .NET 商店開始，并且擁有 .NET 的靜態分析功能，那么如果有新團隊加入或收購另一家公司，您是否有能力支持 Java？還是您需要出去購買一套全新的產品？一個有彈性的應用程序安全系統將能夠掃描這些新應用程序，您可以簡單地決定要利用哪種模型，從 SaaS 或內部部署到混合。

5. 確保它是可擴展的

在彈性系統中，您無需添加基礎架構即可獲得更多掃描功能。您的系統將與云無關，并且能夠按需啟動掃描服務器，并在您不需要它們時同樣輕松地關閉它們。只需幾分鐘，您就可以從需要額外容量來掃描更多應用程序轉變為僅打開額外容量。

許可靈活性對于可擴展性至關重要。它需要足夠靈活，這樣您就不必在每次需要額外容量進行靜態或動態測試時都購買另一個許可證。您的許可證應該允許您根據需要和掃描容量來回移動。

為什么網絡彈性是關鍵

Verizon 年度數據泄露調查報告的最新版本顯示，Web 應用程序漏洞是網絡犯罪分子的首要目標。Verizon 在 2019 年調查的數據泄露事件中，約有 40% 實際上涉及應用程序漏洞。

很明顯：強大的應用程序安全計劃對企業網絡彈性至關重要。按照上面的指導來改變你的方法。

保持學習

• 未來是安全即代碼。通過 TechBeacon 指南了解 DevSecOps 如何幫助您實現目標。另外：請參閱 SANS DevSecOps 調查報告，了解對從業者的重要見解。
• 使用 TechBeacon 指南快速了解應用程序安全測試的狀態。另外：獲取 Gartner 的 2021 年 AST 魔力象限。
• 通過 TechBeacon 的 2021 年應用程序安全工具指南了解應用安全工具領域。
• 下載免費的 Forrester Wave 靜態應用程序安全測試。另外：在此網絡研討會中了解 SAST-DAST 組合如何提高您的安全性。
• 了解 API 安全需要訪問管理的五個原因。
• 了解如何為未來十年制定應用安全策略，并在應用安全開發人員的生活中度過一天。
• 使用 TechBeacon 指南構建現代應用安全基礎。