新浪潮！ASPM平台的崛起｜附全景图

• 软件开发日益复杂，给维护应用程序安全带来了巨大挑战。由于从开发到运营的团队需要处理不同方面的问题，而且还有众多测试工具在发挥作用，因此要全面了解应用程序的安全状况十分困难。这种情况使得有效评估、优先处理和修复安全问题变得十分困难。
• 企业无法管理两倍于安全人员数量的工具，而每种工具在部署时都会触发成千上万的警报。随着应用程序变得越来越复杂，不同的安全工具横跨多个组，要了解应用程序的整体安全状况变得更加困难。这使得评估、衡量、优先处理和应对应用程序风险的工作变得更加复杂。
• 传统的安全工具提供了大量缺乏上下文的低保真结果，给开发团队带来了巨大的劳累，降低了他们的工作效率，并导致安全团队在没有重大风险的结果上浪费时间。
• 一直以来，安全测试和运营监控都是分开进行的。通过SAST、DAST和IAST等方法进行安全测试的开发人员通常与运营和云安全团队隔离开来，后者监控应用程序是否存在安全漏洞或错误配置，或关注基础设施而非应用程序和代码。这种分离会导致重复劳动，并使统一的风险管理变得困难。

由于威胁形势和应用开发实践的变化，传统的漏洞管理（VM）已经发生了演变，并且与ASPM的交集越来越多。这种融合是由于需要更全面地管理整个应用程序的漏洞，而不是仅仅关注由运营团队管理的基础设施或运行环境。

传统的漏洞管理通常侧重于管理已编入NIST国家漏洞数据库（NVD）等数据库的已知漏洞。对NVD中列出的CVE（常见漏洞和暴露）的依赖意味着漏洞管理可能是被动的，只有在风险被正式识别和记录后才会对其进行处理。这种方法可能会遗漏CVE系统尚未捕获的较新或新兴威胁，从而可能使组织面临零日攻击或快速演变的漏洞利用。

最优秀的厂商通过整合超越传统CVE清单的威胁情报功能来弥补这些差距。平台的威胁情报可以识别和评估尚未记录在NVD中的风险。这种积极主动的方法使企业能够在威胁生命周期的早期发现并应对威胁，甚至可能在威胁被恶意利用之前就发现并应对。

在ArmorCode等平台的推动下，漏洞管理和ASPM的融合意味着漏洞管理成为整个应用程序安全策略中更加不可或缺的一部分。这不仅仅是修补已知的漏洞，而是要了解动态环境中应用程序的安全态势。这种整合有助于企业更有效地确定安全工作的优先次序，而不仅仅是那些已知的和已编入目录的漏洞。

历史上，在支持组织使用硬件和软件提供业务价值并支持持续运营的各种技术团队之间存在着隔离。这些团队包括开发、运营和安全。行业最初围绕着DevOps展开，并采用了迭代式软件开发方法，最突出的是“敏捷宣言”。

然而，随着时间的推移，安全从业人员和其他一些人开始担心软件开发和DevOps的演进过程中会忽略安全问题，因此出现了DevSecOps这一术语和趋势。当然，DevOps的纯粹主义者会争辩说，作为质量的一个子集，安全一直是DevOps的一部分，虽然从理论上讲这是正确的，但数年甚至数十年来，不安全的产品、利用、事件和数据泄露影响了数亿甚至数十亿个人的个人数据和企业数据，这不禁让人产生怀疑。

NIST的定义是："DevSecOps通过在整个过程中集成安全实践并自动生成安全和合规工件，有助于确保安全问题作为所有DevOps实践的一部分得到解决。

该定义列举了具体的好处，例如：

• 减少漏洞、恶意代码和其他安全问题
• 在整个应用生命周期内减轻漏洞利用的潜在影响
• 解决漏洞的根本原因，防止漏洞再次发生
• 减少开发、运行和安全团队之间的摩擦

虽然DevSecOps不是一种工具或技术，而是一种通过整合安全性贯穿于软件开发生命周期（SDLC）的方法论，但通常包括通过连续集成/连续部署（CI/CD）流水线等技术来整合安全工具。这通常包括静态和动态应用程序安全性测试（SAST/DAST）、密钥管理、基础设施即代码（IaC）扫描、容器扫描等工具。这些工具的整合伴随着“将安全性左移”的推动，这是与DevSecOps相关的另一种行业转变和口号。这强调了在SDLC中将安全性向左移动，以尽可能在运行时生产环境之前识别和纠正漏洞。

该领域的工具在不断发展，以涵盖各种功能类别和环境，通常寻求提供从"代码到云"的覆盖范围，这代表了从底层云托管环境（IaaS、PaaS和SaaS）到运行时托管在这些环境中的应用程序的安全覆盖范围。除了构建通常被称为云本地应用程序保护平台（CNAPP）的综合平台外，这一演变还帮助开创了一个新的类别，即应用程序安全态势管理（ASPM）。

此外，随着云计算和现代基础设施实践（如基础设施即代码（IaC））的发展，安全开始向"即代码"（as-Code）转变。这允许将基础设施视为软件，并利用版本控制、回滚和管理配置漂移等技术。安全已开始慢慢采用这种模式转变，"合规即代码"（Compliance-as-Code）等技术旨在减少配置偏差和风险，并在部署基础架构和系统之前实施防护措施以减少风险，以及在风险发生时进行补救。这包括安全存储、加密、访问控制等项目。

我们也开始看到采用编码化语言的合规工件，如NIST的开放式安全控制评估语言(OSCAL)，它有助于将通常以word和PDF格式存在的典型传统合规静态文档转换为编码化格式，使其更接近现代云环境的本质，并符合"即代码"管理的要求。

尽管围绕DevSecOps在人员、流程和技术方面进行了各种创新，但仍然存在许多挑战。其中包括，由于扫描工具噪音大、发现的保真度低，以及缺乏丰富的上下文，开发团队被淹没在大量的漏洞积压中，因此安全问题经常会给开发和工程同行带来摩擦。安全团队经常实施"安全门"，而不是实现"护栏"。安全团队经常利用工具实施"安全门"，主观臆断生产路径和部署标准，导致代码部署出现瓶颈和延迟，引起开发同行的不满和挫败感。具有讽刺意味的是，这种结果往往会加强安全团队与开发团队之间的隔阂，而这正是DevSecOps试图打破的关键因素之一。

随着数字产品和软件的不断发展，企业也在努力跟上生态系统中不断增加的漏洞数量。NIST国家漏洞数据库(NVD)是目前公认和使用最广泛的漏洞数据库，其报告的已知漏洞（以常见漏洞和暴露(CVE)的形式捕获）数量年年刷新纪录。与此同时，由于没有一个漏洞数据库可以包罗万象，我们也看到了其他各种漏洞数据库的增长，如OSV（开源漏洞）、Sonatype开发的OSS索引和GitHub安全咨询数据库，它们都带来了NVD通常无法捕获的独特发现。

正如本文作者之一在一篇题为"Sitting on a Digital Haystack of Needles"的文章中所写的那样--众所周知，"防御者必须一直是对的，攻击者只需一次是对的"。以下来自漏洞研究员JerryGamblin的指标和图片强调了这一点。

例如：

• 2023 YTD CVE统计：
• CVE总数：28261
• 日均CVE：84.61
• 平均CVSS得分：7.13
• YOY增长率：20.10%或+4,730 CVE（2022 YOY增长23,531 CVE）

各组织传统上利用漏洞扫描器等工具来识别其环境中的漏洞、受影响的系统、漏洞的严重程度，并跟踪指标（如随时间变化的趋势），以显示在降低与漏洞相关的风险方面取得的改进，包括单独的改进和总体的改进。

从历史上看，这些工具主要针对端点和服务器等项目，但随着云、IaC、开源应用等的发展，用于扫描漏洞的工具类型也出现了巨大增长。这些工具现在包括静态和动态应用程序安全测试（SAST/DAST）、基础设施即代码（IaC）扫描、容器扫描、软件组成分析、机密扫描、病毒和恶意软件扫描、Kubernetes，当然还有运行时扫描工具，以及那些扫描源代码或在软件构建和部署过程中进行扫描的工具。

这些扫描工具有助于突出现代云原生环境中无数潜在来源的漏洞，同时也促进了行业趋势的发展，例如推动"安全左移"，即在软件开发生命周期（SDLC）的早期阶段识别漏洞，然后再将其引入生产运行环境，以免被恶意行为者利用。从理论上讲，"左移"也有助于在SDLC早期解决漏洞问题，因为此时修复漏洞的成本更低，也更容易。

漏洞扫描工具的使用和种类增加的一个副产品就是漏洞识别率的提高。一方面，这是好事，否则企业很可能无法看到和意识到这些漏洞。但是，这也假定组织能够实际修复已识别的漏洞，并有足够的能力对已识别的漏洞进行适当的优先排序。

企业不仅要应对因吸引和留住技术人才（尤其是网络安全人才）等挑战而导致的资源有限问题，还要应对漏洞数量全面激增的问题。

Cyentia Institute（下图）等机构的研究表明，企业每月只能修复约10%的新漏洞，而Qualys等漏洞管理领导者的研究表明，漏洞利用窗口通常超过了企业的修补能力。

Source: Cyentia Institute, Vulnerability Mgmt Research

Qualys等其他公司的研究表明，恶意行为者在利用漏洞和最大化利用时间方面，与防御者的修复时间（MTTR）相比，很容易超过防御者。

Source: Qualys 2023 TRURISK Threat Report

虽然防御者经常过度关注最新的漏洞，但他们无法跟上快速识别和清查已知漏洞的步伐，导致大量漏洞积压。

这些积压的漏洞通常包括陈旧的或被称为"复古"的漏洞。在安全厂商Rezilion开展的题为"老漏洞永不过时"的研究中，他们发现有450多万个面向互联网的设备存在已知漏洞，这些漏洞是在2010-2020年间发现的，其中许多漏洞在研究时的过去30天内有已知的利用活动。这表明，生态系统中充斥着大量陈年漏洞，这些漏洞已成为漏洞积压的安全技术债务，在开放的互联网上被恶意行为者利用的时机已经成熟。

使问题更加复杂的是，长期以来，漏洞优先级排序方案都是基于通用漏洞评分系统（CVSS）的基本严重级别（如低、中、高和严重）等指标。

尽管研究结果表明，只有不到5%的已知漏洞（如CVE）在实际中被利用。虽然创新的新漏洞情报来源（如CISA的已知漏洞利用（KEV）目录和漏洞利用预测评分系统（EPSS））有助于对已知漏洞利用或漏洞利用概率进行优先排序，但许多组织尚未大规模采用这些资源，即便如此，要真正对漏洞进行优先排序，还需要增加可及性、业务关键性、补偿控制等方面的内容。

这就是为什么Rezilion和Ponemon等机构的研究表明，一般组织的漏洞积压数量都在几十万甚至上百万，因为组织根本没有能力跟上漏洞修复的速度，而漏洞的发现、记录和添加到现有积压中的速度又比它们快。

定义ASPM

应用程序安全态势管理（ASPM）已成为企业确保其应用程序安全的一种解决方案。Gartner预测，到2026年，将有超过40%的企业使用ASPM来快速查找和修复安全漏洞。ASPM将各种工作和工具整合到一个系统中，对从编码到部署的整个软件开发生命周期（SDLC）进行安全管理。这不仅提高了可视性，还有助于更准确地管理漏洞和实施安全控制。

来自Latio Tech Pulse的James Berthoty给这个主题下了一个很好的定义，概括了一切。他将其定义为扫描和修复应用程序漏洞所需的一切。它可以在SDLC流程中提供安全扫描、摄取结果并构建修复工作流。

Source: WTF Is ASPM, Latio Tech

James用了一个简单的定义：

ASPM讲述了代码如何到达生产环境。它指出，这个人将这段代码与这些库一起编译成这个二进制文件，并部署到这个云上的集群中的这个docker镜像上。修改这行代码就能修复这些漏洞。它能准确地告诉团队要更改哪些代码行、如何修复这些代码行，以及如果应用该更改将修复的漏洞数量。从软件供应链的角度来看，这还能带来额外的好处。

所有这些都允许丰富的工作流程，具有易于应用的充分灵活性。如果出现新的漏洞，可以通知开发人员，他们可以选择创建工单或立即修复，如果在30天内没有解决，安全人员可以再次通知他们。它们可与其他工具集成，从其他平台获取漏洞信息，并通过更多的应用背景丰富发现的内容。

从ASOC到ASPM的演变

就上下文而言，ASPM是由Application Security Orchestration and Correlation(ASOC)演变而来，扩大了其范围，为管理应用程序安全提供了一个更加集成和全面的解决方案。ASPM凭借其广泛的覆盖范围和先进的安全问题修复、优先级排序和分类功能，正日益成为现代安全战略的重要组成部分。

此外，ASPM还能更轻松地应用针对每个应用程序的特定风险和合规需求而定制的安全策略。这种方法可简化漏洞的识别和修复，并考虑到企业应用程序组合的不同安全要求，实现详细的风险管理流程。ASPM的出现有望改善对安全工具生成的大量警报的处理。如果没有ASPM，这些警报可能会让团队不知所措，从而可能导致关键漏洞被忽略。ASPM系统会根据设定的策略对这些警报进行优先排序和分类，确保在不中断开发或运营的情况下快速有效地解决紧急问题。

ASPM的核心目标是加强对应用程序安全状况的控制。它使用来自不同来源的数据，对其进行关联和分析，以提供安全威胁和漏洞的清晰视图。这不仅使修复问题变得更容易，还有助于在所有应用程序中更有策略地执行安全策略。ASPM还将安全发现与工作流程工具整合在一起，提供了解决漏洞和提高安全性的实用方法。

两类ASPM解决方案：

1. ASPM编排和聚合平台：有些厂商提出的聚合、关联和优先级排序平台不具备任何扫描功能，而是依赖于第三方扫描器的输出。有些ASPM工具的设计依赖于其他AppSec平台的输出，根据所提问题的风险程度对其进行摄取分析和优先排序。这些工具的厂商往往会强调，它们衡量风险的能力是它们为等式增加的关键价值，更不用说它们还能让客户继续使用现有的AppSec工具。

2. 带有扫描器（专有或开源）的完整ASPM内置提供商：另一方面，Cycode等公司通过其ConnectorX第三方安全工具连接器，提供扫描应用程序不同部分的所有构建模块以及ASPM平台的下游先决条件。

ASPM编排和聚合平台

有些厂商提出的聚合、关联和优先级排序平台不具备任何扫描功能，而是依赖于第三方扫描器的输出。有些ASPM工具的设计依赖于其他AppSec平台的输出，根据所提问题的风险程度对其进行摄取分析和优先排序。这些工具的厂商往往会强调它们在衡量风险方面的能力是它们为等式增加的关键价值，更不用说它们还能让客户继续使用现有的AppSec工具。

ArmorCode

ArmorCode帮助企业从追逐漏洞转向降低风险。人工智能驱动的ArmorCode应用安全态势管理（ASPM）平台与230多种扫描器集成，对企业应用组合的风险形成统一的认识，利用智能风险评分对最关键的风险进行优先排序，并与开发人员协调安全工作流，在企业规模内高效地修复问题。

有别于传统的扫描器，ArmorCode的ASPM平台提供统一的治理，简化了应用程序安全态势、基于风险的漏洞管理、软件供应链安全、DevSecOps以及风险与合规性。这种方法使企业能够整合和管理来自230多种安全工具的数据--从威胁建模到渗透测试，包括云、容器和基础架构安全--而无需锁定厂商。

ArmorCode致力于帮助企业降低风险，减少应用程序安全和漏洞管理程序的复杂性，并有效地减少关键安全技术债务。ArmorCode的人工智能ASPM平台与企业的所有扫描器集成，同时又独立于这些扫描器，以确保企业能够利用最佳工具建立一个强大的应用程序安全和漏洞管理程序。

总体而言，我们认为ArmorCode提供了一个可扩展的模块化ASPM平台，该平台集成了AppSec、基于风险的漏洞管理、软件供应链安全、DevSecOps和合规性，并具有随着新技术发展而添加新模块的能力。ArmorCode的一些竞争对手是已经在使用开源工具来合并和集成其所有多种工具的客户。他们的许多传统竞争对手包括Snyk、Veracode和Checkmarx。他们的一些利基竞争对手包括Ox（PBOM）、Apiiro（强大的扫描功能）和Cycode。他们的与众不同之处在于其集成的广度和深度、风险评分优先级引擎、自动化以及能够为一些大型企业降低风险和复杂性的规模。

应用程序安全行业中的许多公司都专注于提供他们的SCA、代码扫描或云安全基础架构扫描器和他们自己的治理层，然而，ArmorCode采取了不同的方法，建立了一个独立的平台，作为客户已经在使用的许多扫描器的管理层。通过提供一个非扫描器、以平台为中心的解决方案，ArmorCode提供了一个统一的视图，大大增强了对应用程序安全态势的可视性和控制，使自己从竞争对手中脱颖而出。

使用专用扫描器的ASPM厂商

拥有本地专有扫描器的ASPM厂商：另一方面，Cycode等公司通过其ConnectorX第三方安全工具连接器，提供扫描应用程序不同部分的所有构建模块，以及ASPM平台的下游先决条件。

Cycode是一家完全内置ASPM解决方案的厂商，该解决方案集成了其所有扫描器。Cycode于2019年由网络安全领域的三位著名工程师创立：Lior Levy、Ronen Slavin和Dor Atias。Cycode提供完整的ASPM解决方案，帮助企业更快地交付安全代码。他们的平台提供从代码到云的原生扫描，并通过ConnectorX平台与第三方安全工具集成。

Cycode的与众不同之处在于它提供了一个"完整"的ASPM解决方案，该解决方案包含从代码到云的软件开发生命周期(SDLC)各个阶段的本地内置安全扫描。这包括秘密管理、SCA（软件构成分析）、SAST（静态应用安全测试）、秘密检测、CI/CD安全、容器安全等功能。Cycode的平台包括专有技术和与其他安全工具集成的能力，为企业提供了灵活性。其产品能力中另一个有趣的平台功能是，他们不使用开源工具，所有东西都是自主构建的。

Cycode平台的一个独特平台功能是风险情报图谱，它使用人工智能根据自然语言查询提供见解。这使安全团队能够快速识别并解决与开发人员、容器映像和其他方面相关的特定漏洞，使安全流程更加直观高效。这可以帮助企业将风险优先级降低到关键的1%，即真正重要的漏洞（风险评分、与PII的接近程度、暴露/面向互联网、API可发现性等）。其解决方案的核心是确保帮助企业遵守并主动管理其合规性要求。

Cycode强调修复和开发人员体验，将其解决方案直接集成到开发人员的工作流程中，包括集成开发环境和命令行界面，这有助于加快修复过程，促进安全编码实践，而不会中断开发周期。总之，Cycode致力于成为ASPM市场的综合厂商，利用专有和第三方工具提供灵活有效的安全解决方案。

利用开源扫描器和AST的ASPM提供商

OX Security的主动式应用安全态势管理（ASPM）方法强调CI/CD管道。他们率先提出了PBOM（管道物料清单）概念，即为每个管道构建创建一个签名知识图，也称为PBOM。该图作为动态物料清单（BOM），记录了软件在整个开发生命周期中的发展历程。从本质上讲，它是一个持续更新的地图，除了包含SBOM中通常包含的所有元素外，还全面记录了软件所经过的基础架构，如管道分支、构建、拉取请求、票据和已知问题。OX Security的平台和CI/CD工作流程自动化特别增强了所有组件在整个构建和管道阶段的可追溯性和可见性。此外，OX Security还具备出色的应用程序检测和响应能力，能够通过分析运行时行为和推断代码级别的影响来确定漏洞的可及性。

他们对代码库和管道配置进行细致分析，以检测安全漏洞和配置错误。采用静态分析、SAST、机密扫描、容器扫描和IaC扫描等一系列工具，在构建过程中识别风险或配置错误。在进行这些安全评估后，OX Security会根据代码扫描、机密管理、软件包和管道完整性分配一个基准应用程序风险分数，为应用程序的安全态势提供一个可靠的衡量标准。牛安全、Apiiro和其他一些厂商已经成功创建了ASPM平台，涵盖了从代码到云的全部范围。

值得关注的领先厂商

• Snyk是第一家能够在单一平台中提供SCA、SAST、IaC和容器的主要厂商--事实证明，这比购买四个单独的工具，然后再购买第五个工具来协调一切要有价值得多。尽管如此，使用基于平台的方法固然有益，但也可能需要对最佳的点/类工具进行权衡，因为这些工具可以提供一些集中式平台可能无法提供的增强特性和功能。
• Endor Labs已成为一个现代化的SCA平台，可提供对已知利用、可利用性和可接触性的洞察。它还利用人工智能和关键风险洞察，帮助开发人员围绕开放源码软件消费做出风险知情决策，并原生集成到开发人员的工作流程中，以最大限度地减少辛劳和对生产力的安全征税。我们知道，开放源码软件的使用呈指数级增长，但供应链方面的问题也随之而来，而Endor Labs正处于两者的交汇点上，能够确保开放源码软件的安全使用。
• VulnCheck-2024年RSA创新沙盒的参与者VulnCheck是另一个引人注目的佼佼者。正如我们在整篇文章中所讨论的，已知漏洞的列表正在呈指数级增长，而企业正被淹没在试图正确确定优先级和添加上下文的噪音中。VulnCheck为漏洞生态系统带来了创新的可见性和上下文，有助于在漏洞利用之前确定优先级和降低风险。此外，他们还超越了CISA的KEV，推出了VulnCheck KEV，扩展了已知被利用的漏洞，提供了所有组织都应关注的洞察力。
• Avalor-一家将自己定位为"安全数据架构"的公司，最近被最大的网络安全公司之一ZScaler以3.5亿美元的价格收购。众所周知，安全问题正日益成为一个数据问题，Avalor希望通过从客户的安全解决方案中提取数据，将数据规范化，并利用环境细节、可及性、可利用性等上下文帮助突出最高风险问题，从而帮助解决这一问题。由于攻击面不断扩大，而且需要在众多漏洞中找到上下文，以关注真正的风险，因此这是一个亟待解决的巨大网络安全领域。

然而，采用ASPM也会遇到挑战。ASPM解决方案市场仍在发展，有许多新的厂商。ASPM工具需要处理整个SDLC中的大量数据，这种能力仍在大规模测试中。成功的ASPM还依赖于广泛的集成能力，以便顺利融入现有的开发和运营工作流程，增强而不是复杂化开发人员的体验和安全立场。

总之，随着数字和安全环境的不断发展，ASPM已成为更高效、更有效地管理应用程序安全风险的关键方法。通过连接不同的安全工作并提供统一的应用安全视图，ASPM简化了应用安全管理。

展望未来，ASPM在增强互联世界中软件应用程序的弹性和安全性方面必将发挥重要作用。软件安全的未来代表着应用安全工具、漏洞管理和云安全解决方案在ASPM平台上的融合。

原文链接：

https://softwareanalyst.substack.com/p/the-rise-of-application-security