如何通过 DAST 调整 AppSec 噪声

应用程序安全测试会产生大量误报,但开发团队有没有办法避免这些干扰? 实际上有一些方法可以在不影响安全性的情况下减少应用程序测试过程的“噪音”。

动态应用程序安全测试 (DAST) 的现代方法对第一代 DAST 工具以及仍在使用的静态应用程序安全测试 (SAST) 工具进行了重大改进。 在本节中,我们将介绍 SAST 和旧版 DAST 工具的弱点——以及较新的解决方案如何将信号与噪声分离 应用安全 测试。

SAST 的问题

SAST 工具扫描代码以查找已知漏洞和可疑错误,然后生成报告。 这个过程非常准确,但也有缺点。 组织使用的每种标记语言都需要不同的 SAST 工具。 此外,SAST 工具无法在应用程序运行时检测到执行错误。

SAST Instruments 还可以生成天文数字的 误报 – 报告的安全漏洞结果证明没有。 当漏洞在运行时消失时,开发团队可能会花费大量时间调查来自 SAST 工具的潜在危险信号警报。 这是一个非常低效的工作流程。

Invicti 写道:“特别是 SAST 工具,因向开发人员提出大量安全问题而闻名,这些问题虽然在技术上是准确的,但在给定的上下文中并不相关。” 兹比格涅夫·巴拿赫 在 2022 年的一篇博文中。“这需要进行繁琐的微调,以防止开发人员被误报淹没。”

第一代 DAST 解决了 SAST 的部分问题,但不是全部

DAST 不扫描代码,也不需要知道编写应用程序的标记语言。 相反,它会在应用程序运行时监控进出应用程序的数据流量,并在发现可疑情况时报告警报。

第一代 DAST 工具(或“传统 DAST”工具)通过检测静态代码中不可见且仅在应用程序运行时出现的缺陷来工作。 DAST 工具的使用 渗透测试 “单击”应用程序并在其中查找漏洞的技术。

旧的 DAST 倾向于在文件末尾使用 开发周期,如果发现代码中嵌入的严重缺陷,就会迫使开发团队回滚。 DAST 工具通常必须手动运行,而不是设置为自动运行。

这些第一代工具以其应用程序测试的“黑盒”方法而闻名:DAST 可以告诉我们可能存在漏洞,但不能提供漏洞可以被利用的证据。 它也无助于治疗。 相反,应用程序的开发人员或测试人员将需要手动检查报告的漏洞。

正如您所料,旧的 DAST 也会产生大量误报。 对于开发团队来说,这可能太多了,无法处理。 2022年 对 500 名 DevSecOps 专业人员的调查 受 Invicti 委托,94% 的受访者表示他们在漏洞报告中发现了误报,而 67% 的受访者表示他们“一直”或“经常”发现误报。

应用程序测试期间的误报如何导致额外的工作。 学分:Invicti

更重要的是,68% 的参与者表示他们每周至少忽略一次测试期间报告的潜在漏洞,而 97% 的参与者表示他们至少每月一次忽略误报,这些误报后来证明是真正的漏洞。

这凸显了一个真正的问题:过时的 SAST 工具和 DAST 工具产生的大量误报可能会完全破坏应用程序安全测试。

“随着开发人员和测试人员对经常产生误报的漏洞扫描器失去信心,他们可能会例行公事地开始忽略该工具的所有问题,” Invicti最新白皮书. “迟早会有人开始检查复选框以清除错误。”

现代 DAST 技术如何降低噪音

幸运的是,一套新的 DAST 工具正在减少误报的数量。 其中一些工具将 DAST 和 SAST 结合在一种称为交互式应用程序安全测试 (IAST) 的方法中。 与 DAST 不同,IAST 可以在应用程序运行时查看其内部,以查看哪些操作可能导致错误。 但与 SAST 一样,IAST 工具应该是特定于语言的。

另一种最近的 DAST 方法是让该工具尝试利用它发现的漏洞,看看它们是否真实。 有时工具可以提供 概念验证 利用代码,就像安全研究人员一样。 Invicti 将此称为“基于证据的调查”。

真正的漏洞可能需要比误报更少的工作。 学分:Invicti

并非 DAST 工具报告的每个漏洞都可以进行测试,因此开发人员和应用程序测试人员仍然需要追查一些漏洞。 但基于证据的扫描大大减少了误报的数量,减少了应用程序测试周围的噪音,并使安全人员能够专注于真正的威胁。

执行基于证据的扫描的 Invicti DAST 工具包括 IAST,因此可以在应用程序运行时对其进行“由内而外”的测试,从而提供 开发安全运营 团队更具洞察力和准确性。 Invicti 工具还可以 24/7 全天候运行,并在软件开发生命周期的早期进行运行时测试编码。

Invicti 说:“当你拥有一个真正按照包装上的说明并兑现速度、准确性和完整性承诺的 DAST 平台时。” 巴拿赫,“您可以自动化测试过程,以在需要时以您想要的方式启动完整或部分扫描。”

#如何通过 #DAST #调整 #AppSec #噪声

Leave a Comment

Your email address will not be published. Required fields are marked *