軟件開發在不斷發展，應用程序安全也必須隨之發展。

傳統的應用程序安全解決方案無法跟上當今開發人員的工作方式或攻擊者的工作方式。

我們需要一種新的應用程序安全方法，而ASPM在該方法中發揮著關鍵作用。

什么是 ASPM？ ??

應用程序安全態勢管理或 ASPM 讓安全團隊可以清楚地了解整個軟件工廠、其資產、其所有者、其安全控制、其漏洞以及所有這些之間的關系。 ?

通過這種視圖，安全團隊可以確保每個軟件版本的完整性、治理性和合規性。 ?

Gartner 將 ASPM 定義為一種解決方案，它“分析軟件開發、部署和操作過程中的安全信號，以提高可見性、更好地管理漏洞并實施控制。”*?

應用程序安全態勢管理為內部團隊提供可見性、優先級和協調，以更高效、有效地保護軟件并對其進行驗證。 ?

ASPM 解決了什么問題？ ??

開發流程和攻擊者策略的變化給現代安全團隊帶來了巨大挑戰。ASPM 是應對這些挑戰的獨特解決方案。

現代軟件開發的安全挑戰

開發人員現在比以往任何時候都更加自給自足，能力更強。他們不僅可以構建自己的應用程序，還可以構建與生產環境和持續集成與部署 (CI/CD) 管道完全相同的本地測試環境。

隨著容器、Kubernetes 和云架構的出現，他們可以在幾分鐘內快速測試、迭代、構建、銷毀和重建。

如果他們對構建或修復代碼有疑問，AI 會立即為他們提供完整的代碼片段，排除代碼無法正常工作的原因，甚至在他們編碼時為他們提供實時建議。

除此之外，如今的開發組織可以非常龐大，擁有成千上萬的開發人員，并且由于并購活動幾乎在一夜之間呈指數級增長；而且你所擁有的開發環境比我們以前見過的任何環境都更加快速和流動。

在促進前所未有的創新水平的同時，這場軟件開發革命也極大地擴展了應用程序的攻擊面。

在這種環境下，安全團隊面臨著以下挑戰：

可見性： 缺乏對整個軟件工廠（從資產到路徑和管道）的可見性。

除了增加風險之外，缺乏對攻擊面的可視性還帶來了合規性挑戰。安全團隊正在努力遵守要求提供資產清單和安全控制證據的法規。

關聯性：整個 SDLC 中，云、應用程序、供應鏈等風險類型之間缺乏關聯性，導致人工工作量增加

例如，如果在云環境中發現漏洞，云安全團隊可能需要花費數小時才能與應用程序安全和開發團隊合作來找到造成漏洞的代碼。

復雜性：復雜性導致配置錯誤和開發流程中機密的暴露

現代軟件工廠的復雜性為風險配置錯誤（例如構建系統）以及機密泄露（例如 API 密鑰和云憑證）開辟了新的途徑。

現代攻擊者策略的安全挑戰

為了利用現代軟件開發環境所造成的漏洞，老練的攻擊者已經將注意力擴展到前端應用程序之外。

現在，攻擊者也越來越多地瞄準軟件供應鏈工廠組件（管道、構建服務器、庫、工具和流程）。

此類攻擊已導致全球大規模入侵，例如 3CX、SolarWinds、Codecov 和 Cyber??Link 遭遇的入侵。

ASPM 有哪些好處？?

ASPM 提供了一個平臺來控制應用程序安全混亂，隨著開發組織的成長和變化而擴展，并提供整個軟件工廠、其資產、其所有者、其安全控制、其漏洞以及所有這些之間的關系的清晰視圖。

ASPM 幫助團隊

1. 緩解高優先級的安全漏洞以智能地降低風險。

2. 發現影子 IT、系統和源代碼。

3. 測量漏洞的爆炸半徑：系統內安全漏洞的潛在影響。

4. 提供護欄，讓開發人員能夠快速行動，而不會受到安全控制減慢他們的速度。

5. 通過證明控制措施的部署位置來簡化法規遵從性。

6. 評估應用程序業務的關鍵性。?

7. 為高管、開發人員和安全團隊提供一種通用語言來了解風險。

8. 展現降低風險的進展。

ASPM 與代碼掃描儀

靜態分析 (SAST)、動態分析 (DAST) 和軟件組成分析 (SCA) 掃描源代碼中代碼開發不同階段的漏洞。 ?

僅僅掃描源代碼來保證應用程序的安全性是不夠的，因為其重點太窄，缺乏背景，并且會產生各種沒有關聯的結果。 ?

此外，源代碼掃描器只關注應用程序風險，而很大程度上忽略了軟件工廠中發現的風險，例如 CI/CD 管道中的弱點。這種關注導致目前造成和產生最具破壞性的攻擊的區域存在盲點。?

ASPM 與 ASOC

應用程序安全編排和關聯 (ASOC) 是一種有助于促進漏洞測試和修復的解決方案。這些解決方案關聯來自各種來源的掃描數據，包括 SAST、DAST、IAST 和 SCA 工具，有助于確定結果的優先級和重復數據刪除。 ?

ASPM 是一種更全面的安全解決方案。ASOC 專注于預生產代碼中的漏洞，而 ASPM 則涵蓋整個軟件工廠，從代碼到管道、路徑和資產。?

ASPM 與 CNAPP

云原生應用保護平臺 (CNAPP) 是一種專注于云環境安全的安全解決方案。這些解決方案旨在監控、檢測和修復云安全威脅和漏洞。CNAPP 僅專注于運行時保護，而 ASPM 則專注于整個 SDLC 中的應用程序安全。 ?

在 ASPM 解決方案中您應該考慮什么？

ASPM 是一個相對較新的類別，不同的產品具有不同的優勢和劣勢。評估解決方案時，請考慮：

提供的可見性類型 ?

當今的企業擁有龐大且充滿活力的開發團隊，而確保 SDLC 的安全需要了解能夠進行優先排序和比較的環境視圖。 ?

尋找能夠提供開發環境和安全性的實時、連續視圖的 ASPM 解決方案 - 以及這兩個領域的背景，從而可以根據業務風險確定優先級。 ?

此外，能夠查看產品和團隊級別的視圖，而不是查看所有數據的單一匯總視圖，這一點很重要，尤其是對于使用不同工具和流程的復雜開發團隊而言。例如，借助此視圖，團隊可以查看與特定開發團隊相關的數據并將其與其他開發團隊進行比較。?

可擴展性 ?

如今的開發組織規模龐大，擁有數千名開發人員，并且由于并購活動幾乎在一夜之間呈指數級增長，從而形成了比我們以前所見過的任何環境都更加快速變化和流動的開發環境。 ?

尋找能夠支持非常大的分布式開發組織的企業級 ASPM 解決方案。???

人工智能發現 ?

生成式人工智能讓開發人員能夠更輕松地大規模生成代碼。然而，它也會生成存在漏洞的代碼，就像開發人員創建的代碼一樣，并且可能包含由其他組織授權的代碼。 ?

尋找一種 ASPM 解決方案，該解決方案能夠了解開發人員何時何地使用 AI 代碼助手，以及識別其業務中的 GenAI 代碼和有風險的 AI 模型。??

部署靈活性 ?

部署選項是評估 ASPM 解決方案時的一個重要考慮因素。尋找能夠作為 SaaS 解決方案、在私有云、本地或混合云中部署的能力。?

秘密探測 ?

機密泄露已成為一個日益嚴重的重大軟件安全問題。現代應用程序需要數百個機密才能運行（API 密鑰、第三方、云憑證等）。

與此同時，開發人員被迫盡快創新和開發代碼，這經常導致他們走捷徑以提高效率和速度。其中一條捷徑是在開發過程中使用機密來加速測試和 QA。 ??

在 ASPM 解決方案中尋找一流的秘密檢測，具有補救、預防和低誤報功能。 ?

合規性證明和報告 ?

簡化網絡安全法規合規性是 ASPM 解決方案的一項關鍵功能。從SBOM到認證，ASPM 解決方案應能消除手動工作，從而展示整個 SDLC 中實施的安全控制。?

尋找一個 ASPM 解決方案，該解決方案將在廣泛的法規和安全框架（例如SLSA、NIST SSDF、PCI DSS、FedRAMP 和CISA Attestation ）的背景下評估您的安全態勢。

該解決方案還應提供驗證和證據以支持合規性審計要求和證明要求。?