应用程序安全

应用程序安全（简称 AppSec）包括向开发团队引入安全软件开发生命周期的所有任务。 它的最终目标是改进安全实践，并通过它来查找、修复并xxx防止应用程序中的安全问题。 它涵盖了从需求分析、设计、实施、验证到维护的整个应用程序生命周期。

不同的方法会发现潜伏在应用程序中的安全漏洞的不同子集，并且在软件生命周期的不同时间最为有效。 它们各自代表了时间、精力、成本和发现的漏洞的不同权衡。

• 设计审查。 在编写代码之前，可以检查应用程序的体系结构和设计是否存在安全问题。 此阶段的一项常用技术是创建威胁模型。
• 白盒安全审查或代码审查。 这是一名安全工程师通过手动审查源代码并注意到安全漏洞来深入了解应用程序。 通过对应用程序的理解，可以找到应用程序特有的漏洞。
• 黑盒安全审计。 这只是通过使用应用程序测试它的安全漏洞，不需要源代码。
• 自动化工具。 许多安全工具可以通过包含在开发或测试环境中来实现自动化。 这些示例包括集成到代码编辑器或 CI/CD 平台中的自动化 DAST/SAST 工具。
• 协调漏洞平台。 这些是由许多网站和软件开发人员提供的黑客支持的应用程序安全解决方案，个人可以通过这些解决方案报告错误而获得认可和补偿。

Web 应用程序安全是信息安全的一个分支，专门处理网站、Web 应用程序和 Web 服务的安全性。 在高层次上，Web 应用程序安全性借鉴了应用程序安全性原则，但将它们专门应用于 Internet 和 Web 系统。

Web 应用程序安全工具是专门用于处理 HTTP 流量的工具，例如 Web 应用程序防火墙。

开放 Web 应用程序安全项目 (OWASP) 提供免费和开放的资源。 它由名为 The OWASP Foundation 的非营利组织领导。 OWASP Top 10 - 2017 来自最近的研究，该研究基于 40 多个合作伙伴组织收集的综合数据。 该数据揭示了 50,000 多个应用程序中的大约 230 万个漏洞。 根据 OWASP Top 10 - 2021，十大最关键的 Web 应用程序安全风险包括：

• 损坏的访问控制
• 加密失败
• 注射
• 不安全的设计
• 安全配置错误
• 易受攻击和过时的组件
• 身份验证失败
• 软件和数据完整性故障
• 安全记录和监控失败*
• 服务器端请求伪造 (SSRF)*

安全测试技术会搜索应用程序中的漏洞或安全漏洞。 这些漏洞使应用程序容易被利用。 理想情况下，在整个软件开发生命周期 (SDLC) 中实施安全测试，以便及时彻底地解决漏洞。

有多种自动化工具可用于识别应用程序中的漏洞。 用于识别应用程序漏洞的常用工具类别包括：

• 静态应用程序安全测试 (SAST) 在应用程序开发过程中分析源代码是否存在安全漏洞。 与 DAST 相比，SAST 甚至可以在应用程序处于可执行状态之前使用。 由于 SAST 可以访问完整的源代码，因此它是一种白盒方法。 这可以产生更详细的结果，但可能会导致许多需要手动验证的误报。
• 动态应用程序安全测试（DAST，通常称为漏洞扫描器）通过抓取和分析网站自动检测漏洞。 这种方法具有高度可扩展性、易于集成和快速。 DAST 工具非常适合处理注入缺陷等低级攻击，但不太适合检测高级缺陷，例如逻辑或业务逻辑缺陷。 模糊测试工具通常用于输入测试。
• 交互式应用程序安全测试 (IAST) 使用软件工具从内部评估应用程序。 这结合了 SAST 和 DAST 方法的优势，并提供对代码、HTTP 流量、库信息、后端连接和配置信息的访问。