管理软件供应链中网络安全工具蔓延的三种方法

软件开发组织不断发展,团队成长,项目数量增加。技术堆栈发生变化,技术和管理决策变得更加分散。

在这一演变过程中,该组织的 AppSec 工具组合也在不断增长。在动态组织中,这可能会导致“工具蔓延”。庞大的 AppSec 工具组合包括许多单点解决方案,由不同的团队在不同的时间获取,以服务于不同的(或者在不知不觉中重叠的)目的。

庞大的工具导致数据孤岛具有不同的术语、分配规则和解决方案。这种情况会导致 IT 预算浪费,更糟糕的是,集成、确定优先级和解决威胁可能会非常耗时。

如果您的 AppSec 工具非常庞大,并且您觉得它已经超出了您有效管理它的能力,那么值得投入时间和精力来控制它。这样做将帮助您:

■ 获得从第一行代码到生产的软件供应链的完整可见性和端到端可追溯性。
■ 查看安全工具中存在差距或重叠的地方。
■ 通过消除不能产生增量价值的工具来节省资金。
■ 让安全成为开发过程中不可或缺的一部分,而不是事后才想到的。
■ 通过自动分类和优先级提高安全警报的信噪比。
■ 减少手动工作并自动执行保护操作,所有这些都在一个位置进行。

OX 的 Active ASPM 平台通过以下三种方式帮助您控制 AppSec 工具的蔓延,以便您可以最大限度地提高工具投资的保护、生产力和投资回报率:

1.集成安全警报以消除孤岛

要控制工具蔓延,您首先要解决的问题之一是缺乏可见性。这就是为什么您希望将工具中的警报集成到一个集中的位置。获得对安全问题的集中可见性可以使安全开发更快、更有效:

■ 提高信噪比;让开发人员专注于重要的问题。
■ 在开发过程中尽早发现安全问题。
■ 减少引发冗余或不合时宜的安全问题。
■ 避免因过度优先考虑卫生问题而延迟发布,
■ 查看跨工具的相关问题,表明存在真正的攻击杀伤链。

建造与购买

将 AppSec 工具中的安全问题集成到中央仪表板中是一个好主意。我们看到公司尝试在内部构建这些,但成功率很低。集成如此多的系统既昂贵又耗时。集中查看软件供应链安全问题的更快且更具成本效益的途径是通过交钥匙系统。寻找一个能够在一个易于查看的界面中为您提供所需所有信息的提供商。

以平台为例,正如您在上面的 OX 仪表板中看到的那样,聚合并显示了来自多个软件项目的多个工具的数千个问题。无论您是构建还是购买,拥有这种可见性都至关重要。这是下一步管理软件供应链中安全工具的先决条件。

2.自动进行问题分类、预防和解决

软件供应链中的工具发出数千个警报的情况并不罕见。它是如此嘈杂,以至于开发人员经常忽略警报。自动化可以通过提高警报信噪比以及自动升级和解决来解决优先级问题,从而实现更快、更安全的软件交付。 

为了让您了解可能性,让我们以 OX Security 为例,看看自动化如何在最大限度地减少环境噪音方面发挥重要作用…… 

自动进行问题分类和优先级排序

每次您创建新的构建时,OX 都会为该构建生成一个知识图,该知识图聚合了管道中的所有不同安全问题。OX 可以删除重复的问题,并根据潜在的业务影响对它们进行优先级排序。如下图所示,数千个原始警报集中到了几百个需要最紧急关注的警报:

优先风险和错误配置由 OX 组织,使用开源框架 OSC&R 作为上下文(稍后将详细介绍 OSC&R)。这使得每个人都更清楚问题的严重性和责任感。这种清晰度有助于在开发过程的早期消除严重的安全问题,并确保出于安全原因阻止发布的决策得到充分合理化并被团队理解。

自动解决和预防问题

安全工具蔓延的其他问题之一是问题的分配和解决不一致。像 OX 这样的平台可以通过自动化修复和工作流程来解决这个问题,还可以提供建议和解释来培训和授权您的团队: 

在编码和配置任务期间利用这种智能也很重要,而不仅仅是在构建过程之后被动地利用这种智能。寻找一个集成到开发人员的 IDE、CI/CD 和其他开发人员工具中的平台,以主动预防问题。这样做可以简化您的安全开发流程: 

3.使用 OSC&R 框架合理化您的工具组合

最后,您需要确保您使用的框架能够明确您需要保护的内容以及需要关注的威胁。如果您的整个软件供应链都有此功能,则可以将现有工具映射到其中,从而揭示风险覆盖范围中的重叠和差距。

好消息是这个框架已经存在。开放软件供应链攻击参考 ( OSC&R ) 是一项行业标准。它对软件供应链的作用就像Mitre ATT&CK对端点安全的作用一样。如下所示,OSC&R 记录了软件供应链各个部分可能的攻击点和机制: 

借助 OSC&R,您可以将 AppSec 工具映射到威胁,并就获取、保留或终止哪些工具做出更明智的决策。OX Security通过扫描您的环境和管道(从云到代码)来自动执行此操作。

扫描时,OX 会自动识别您正在使用哪些工具,以及是否应部署其他工具以最大限度地扩大覆盖范围。您现在应该拥有一个涵盖您的软件供应链的 AppSec 工具组合,没有间隙或重叠。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/318698.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【rk3568】01-环境搭建

文章目录 1.开发板介绍1.1相关资源:1.2接口布局1.3屏幕1.4核心板引脚可复用资源 2.环境搭建2.1安装依赖包2.2git配置2.3安装sdk2.4sdk介绍2.5sdk编译 3.镜像介绍 1.开发板介绍 开发板:atk-rk3568开发板 eMMC:64G LPDDR4:4G 显示屏…

JVM工作原理与实战(十五):运行时数据区-程序计数器

专栏导航 JVM工作原理与实战 RabbitMQ入门指南 从零开始了解大数据 目录 专栏导航 前言 一、运行时数据区 二、程序计数器 总结 前言 JVM作为Java程序的运行环境,其负责解释和执行字节码,管理内存,确保安全,支持多线程和提供…

一、QT的前世今

一、Qt是什么 1、Qt 是一个1991年由奇趣科技开发的跨平台C图形用户界面应用程序开发框架。它既可以开发GUI程序,也可用于开发非GUI程序,比如控制台工具和服务。 2、Qt是面向对象的框架,具有面向对象语言的特性:封装、继承、多态。…

高并发场景系统设计的时候应该怎么考虑?

主要考虑三个方面,一个是架构,一个是容量,还有一个是调优。 架构方面要考虑的主要是架构拆分、加速和增加吞吐量技术。 架构拆分的常用技术比如:DDD四层架构、六边形架构、微内核架构,还有像k8s架构那种基于角色的拆分…

nmealib 库移植 - -编译报错不完全类型 error: field ‘st_atim’ has incomplete type

一、报错提示-不完全类型(has incomplete type) Compiling obj/main.o from main.c.. arm-linux-gcc -g -w -stdgnu99 -DLINUX -I./ -Inmealib/inc/ -c -o obj/main.o main.c In file included from /home/user/Desktop/nuc980-sdk/sdk/arm_linux_4.8/usr/include/sys/stat…

数据仓库(2)-认识数仓

1、数据仓库是什么 数据仓库 ,由数据仓库之父比尔恩门(Bill Inmon)于1990年提出,主要功能仍是将组织透过资讯系统之联机事务处理(OLTP)经年累月所累积的大量资料,透过数据仓库理论所特有的资料储存架构,做…

高性能RPC框架解密

专栏集锦,大佬们可以收藏以备不时之需: Spring Cloud 专栏:http://t.csdnimg.cn/WDmJ9 Python 专栏:http://t.csdnimg.cn/hMwPR Redis 专栏:http://t.csdnimg.cn/Qq0Xc TensorFlow 专栏:http://t.csdni…

优雅草蜻蜓API大数据服务中心v1.0.4更新-加入蓝奏云直链解析·每日Bing·字数统计·今日油价·历史上的今天等接口

2024年1月13日优雅草蜻蜓API大数据服务中心v1.0.4更新-加入蓝奏云直链解析每日Bing字数统计今日油价历史上的今天等接口 优雅草api服务-大数据中心自12月29日推出以来截止2024年1月13日累计被调用次数为413次,共收录23个接口,截止前一日2024年1月12日当…

VMware workstation安装debian-12.1.0虚拟机(最小化安装)并配置网络

VMware workstation安装debian-12.1.0虚拟机(最小化安装)并配置网络 Debian 是一个完全自由的操作系统!Debian 有一个由普罗大众组成的社区!该文档适用于在VMware workstation平台安装最小化安装debian-12.1.0虚拟机。 1.安装准…

【动态规划】【矩阵快速幂】【滚动向量】C++算法552. 学生出勤记录 II

作者推荐 【动态规划】458:可怜的小猪 本题其它解法 【矩阵快速幂】封装类及测试用例及样例 预计2024年1月15(周一7:00)发布 涉及知识点 动态规划 矩阵快速幂 滚动向量 LeetCode552. 学生出勤记录 II 可以用字符串表示一个学生的出勤记录&#xf…

大创项目推荐 深度学习疲劳检测 驾驶行为检测 - python opencv cnn

文章目录 0 前言1 课题背景2 相关技术2.1 Dlib人脸识别库2.2 疲劳检测算法2.3 YOLOV5算法 3 效果展示3.1 眨眼3.2 打哈欠3.3 使用手机检测3.4 抽烟检测3.5 喝水检测 4 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 **基于深度学习加…

1.2MATLAB数据类型和常用函数

MATLAB数据类型 数据类型表示范围整型 无符号整数8位无符号整数00000000~11111111 (0~-1)16位无符号整数32位无符号整数64位无符号整数带符号整数8位带符号整数10000000~01111111 (~)最左边的1表示符号负号16位带符号整数32位带符号整数64位带符号整数浮…

在centos系统安装mqtt

在CentOS系统上安装MQTT,通常意味着要安装一个MQTT代理(broker),比如Mosquitto。下面是在CentOS上安装Mosquitto的步骤: 添加EPEL仓库: 由于Mosquitto可能不在CentOS默认的Yum仓库中,你可能需要…

Vulnhub-Lampiao

一、信息收集 nmap扫描 PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.7 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 1024 46:b1:99:60:7d:81:69:3c:ae:1f:c7:ff:c3:66:e3:10 (DSA) | 2048 f3:e8:88:f2:2d:d0:b2:54:0b:…

Center审计策略表安装和策略添加(事务)——(Linux/Windows版本)

本博客主要讲述Center的审计策略表安装和策略添加 使用事务添加 1、开启事务 my->StartTransaction(); 2、编写sql语句 //清除原来数据,防止数据污染my->Query("DROP TABLE IF EXISTS t_strategy");string sql "CREATE TABLE t_strategy (…

OpenCV-24双边滤波

一、概念 双边滤波对于图像的边缘信息能够更好的保存。其原理为一个与空间距离相关的高斯函数与一个灰度距离相关的高斯函数相乘。 空间距离:指的是当前点与中心点的欧式距离。空间域的高斯函数及其数学形式为: 其中(xi,yi&…

电子学会C/C++编程等级考试2021年09月(四级)真题解析

C/C++编程(1~8级)全部真题・点这里 第1题:最佳路径 如下所示的由正整数数字构成的三角形: 7 3 8 8 1 0 2 7 4 4 4 5 2 6 5 从三角形的顶部到底部有很多条不同的路径。对于每条路径,把路径上面的数加起来可以得到一个和,和最大的路径称为最佳路径。你的任务就是求出最佳路径…

C程序训练:与输入有关的错误

在录入程序时有时稍不注意就可能录入错误的字符导致程序运行结果出现错误&#xff0c;下面举例说明。 下面程序的运行结果是错的&#xff0c;但程序又没有错&#xff0c;到底问题出现在哪呢&#xff1f; #include <stdio.h> int main() {FILE *fp;int i, k, n;fpfopen(…

【Linux】Linux 系统编程——cd 命令

文章目录 1.命令概述2.命令格式3.常用选项4.相关描述5.参考示例 1.命令概述 “cd 命令&#xff0c;即 ‘change directory’ 的缩写&#xff0c;主要用于 Unix、Linux 和 macOS 等操作系统中&#xff0c;用于改变当前工作目录。该命令支持绝对路径和相对路径两种形式。若未指定…

肉类加工过程中的分子营养变化

谷禾健康 由于肉类和肉制品含有丰富的脂质和蛋白质&#xff0c;因此易于发生氧化反应。脂质氧化会产生一系列氧化衍生物&#xff0c;主要影响食物的颜色和风味&#xff0c;同时也会导致肌肉蛋白质的功能和稳定性丧失。同样&#xff0c;蛋白质容易被活性氧化物质(ROS)和氧化应激…