Ako ste uključeni u osiguranje aplikacija koje razvija Vaša organizacija, nema sumnje da su rešenja za statičko testiranje sigurnosti aplikacija (SAST) važan dio sveobuhvatne strategije sigurnosti aplikacija. SAST osigurava softver, sigurnije podržava poslovanje, smanjuje troškove, smanjuje rizik i ubrzava vrijeme za razvoj, isporuku i implementaciju kritičnih aplikacija.
SAST skenira kod rano tokom razvoja, tako da se vaš AppSec tim neće truditi da popravi neočekivane ranjivosti neposredno prije planiranja tog velikog lansiranja. Izbjeći ćete iznenađenja i kašnjenja u lansiranju bez nenamjernog puštanja rizičnih softvera klijentima ili u proizvodnju.
Ali ako smatrate da je SAST dio veće AppSec platforme, ključne za one koji žele promijeniti sigurnost što je moguće u životnom ciklusu razvoja softvera (SDLC), neka SAST rešenja nadmašuju druga.
Znati na šta se fokusirati
Uz mnoštvo igrača na tržištu, koji ponekad iznose konkurentne tvrdnje, zbunjujuće je znati šta tražiti kada birate SAST rešenje. Važno je razumiti šta se krije iza svake tvrdnje i vidjeti da li odgovara stvarnosti.
Ponekad rešenje s kojim organizacija na početku počne nije pravo kako organizacija raste ili kada drugi timovi počnu koristiti rešenje.
Šta tražiti u SAST rešenju?
Uklopiti se u Vaš AppSec program
Sveobuhvatna sigurnosna platforma aplikacija omogućava Vam da pojednostavite sigurnost, u aplikativnom kodu, ovisnostima otvorenog koda, lancima nabavke, IaC-u, API-ma, kontejnerima i još mnogo toga, sve iz jednog skeniranja. Platforma pruža brze, korelisane i precizne rezultate za ubrzavanje sanacije.
Kada tražite SAST rešenje, ako je dio objedinjene AppSec platforme, ono će pružiti najbolju vrijednost za osiguranje modernih aplikacija. Kompletna platforma bi trebala osigurati centralizovano upravljanje za SAST, SCA, SCS, API sigurnost, DAST, IaC sigurnost i sigurnost kontejnera.
Platforma bi trebala biti u mogućnosti da raste s Vama kako se Vaše potrebe mijenjaju. Kada upoređujete pristupe zasnovane na platformi sa AppSec-om, pobrinite se da oni mogu povezati rezultate skeniranja u različitim mašinama za skeniranje, tako da možete dobiti ukupnu procjenu rizika za projekte i aplikacije, umjesto da pokušavate ručno agregirati rezultate iz različitih samostalnih AST rešenja.
Fleksibilnost je presudna
Nijedna aplikacija nije slična, a različiti dioničari kao što su CISO-i, timovi za sigurnost aplikacija i programeri.
Ponekad im je potrebno da dobiju pregled rizika u aplikaciji i „skeniraju široko“, dok u drugim slučajevima trebaju „duboko skenirati“ određeni dio aplikacije ili istražiti vrlo specijalizovane rizike.
Fleksibilnost dubokog i širokog skeniranja pokriva sve slučajeve upotrebe. Pruža fleksibilnost tako da se organizacije mogu standardizovati na jednoj platformi koja pokriva sve slučajeve upotrebe.
Unaprijed postavljene postavke, takođe poznate kao skupovi pravila, su grupe pravila skeniranja izvan kutije koja se mogu primijeniti na različita skeniranja. SAST rešenja bi trebala biti unaprijed upakovana s nizom unaprijed postavljenih postavki za podršku velikim slučajevima upotrebe, uključujući dobijanje “šire slike” pregleda rizika i ranjivosti njihovog koda, kao i osiguranje usklađenosti s propisima.
Ponekad, bez obzira koliko opsežni, unaprijed upakovani skupovi pravila nisu dovoljni, a organizacija želi urediti ili kreirati prilagođene skupove pravila. Ovo pomaže u poboljšanju preciznosti i minimizovanju lažnih pozitivnih rezultata.
Tačnost je važna u SAST-u
Da bi SAST rešenje bilo korisno, mora biti tačno.
Kada se govori o SAST-u, često se pominju “lažni pozitivni rezultati”, to jest, označene stavke koje nisu pravi rizici. Zaobići to su fleksibilne unaprijed postavljene postavke i prilagođeni upiti ili pravila.
Ali još više zabrinjavaju “lažno negativi”, to jest, rizici u Vašem kodu koji se zanemaruju i koje Vaš SAST skener ne identifikuje. Sa lažnim negativnim rezultatima, nesvjesno otpuštate ranjivosti bez čak i šanse da ih istražite i ispravite.
Jedan od načina da smanjite šanse lažnih negativnih rezultata je korištenje rešenja “usmjerenog na aplikaciju” koje razumije kako Vaša aplikacija funkcioniše. Ovo rešenje može pratiti tok podataka kroz kod i izvršavati kod sa simboličkim ulazima, omogućavajući mu da istražuje sve puteve kroz kod kako bi pronašao one koje je moguće iskoristiti. Iako oslanjanje na alate zasnovane na regularnim izrazima može zvučati zgodno, oni su, na kraju krajeva, lakši i brži, to neće biti slučaj kada se Vaša kompanija nađe na naslovnim stranicama zbog ranjivog koda koji je objavljen u divljini.
Drugo rešenje je korištenje pravog profila za Vašu bazu koda i kreiranje prilagođenih upita kada je to potrebno. Na primjer, ako je organizacija razvila vlastito prilagođeno sredstvo za dezinfekciju, priopštavanje SAST-u o ovom sredstvu za dezinfekciju prilagođavanjem upita može eliminisati lažne pozitivne rezultate. Posjedovanje prilagodljivog jezika upita ključno je za smanjenje lažnih pozitivnih rezultata bez omogućavanja lažno negativnih.
SAST rešenje koje radi za programere
Kao što je gore spomenuto, dolaženje do problema na njihovom izvoru, a ne samo popravljanje sintaksičkih grešaka, brže je i dugoročno štedi novac. Brza skeniranja koja propuštaju ranjivosti jer ne razumiju kako se kod odnosi na aplikacije nisu cilj. Ali ni jedno ni drugo ne tjera programere koji su već požurili da prođu kroz svaku grešku “finim” češljem.
Važno je brzo riješiti probleme. Način da se to učini je pružanjem “najbolje lokacije za popravku”. Ovo upućuje programere na tačnu lokaciju kako bi popravili ranjivost, štedeći im vrijeme i energiju. I često, modifikovanjem koda na najboljoj lokaciji popravke, taj pojedinačni popravak može eliminisati višestruke ranjivosti i smanjiti broj potrebnih ispravaka koda.
Većina programera nisu stručnjaci za sigurnost, ali dobro SAST rešenje ih može pretvoriti u sigurnosne heroje.
Potražite rešenje koje pokazuje programerima kako popraviti ranjivosti, objašnjava značenje i uticaj ranjivosti i pomaže im da napišu sigurniji kod u budućnosti. Neka rešenja isporučuju ili se integrišu s obukom koda koja uči programere kako da identifikuju i napišu siguran, kvalitetan kod.
Obuka za sigurnost koda male veličine, gamificiranog koda omogućava lako i brzo učenje koje povećava usvajanje programera, a ovaj pristup može čak poboljšati zadržavanje zaposlenih.
Uz pravo SAST rešenje, Vaši programeri neće morati ići na Stack Overflow ili Reddit tražeći savjet o tome kako riješiti problem.
SAST koji podržava Vaš postojeći ciklus razvoja softvera
Mijenjaju se jezici i okviri. Vaše SAST rešenje ne bi trebalo. Stoga je važno imati SAST rešenje koje ide u korak s najnovijim ažuriranjima jezika i podržava najnovije jezike. Ovo Vam omogućava da podržite svoje programere, gdje god žele da idu.
Široka jezička podrška je takođe ključna kako bi se omogućilo organizaciji da standardizuje jedno rešenje u timovima i cijeloj organizaciji.
Na primjer, ako se bavite financijama, organizacija će možda morati podržati zastarjele jezike kao što je COBOL, koji još uvijek pokreće mnoge bankarske transakcije, kao i nove jezike za razvoj mobilnih aplikacija kao što je Flutter. Iako različiti programeri mogu raditi na obe komponente, organizacije mogu maksimizovati efikasnost standardizacijom na jednoj sigurnosnoj platformi aplikacije, umjesto da pribjegavaju mješavini dobavljača.
Otkrivanje API-a u izvornom kodu
Vođeni nedavnim kršenjem podataka visokog profila, raste svijest o API-ima kao potencijalnim ulaznim tačkama u Vaše aplikacije. OWASP čak ima i “API Security Top 10”, gdje pokrivaju glavne načine na koje API-i mogu biti probijeni, uključujući ubrizgavanje, sigurnosnu pogrešnu konfiguraciju i autorizaciju na nivou slomljenog objekta.
Jedan od izazova većine API sigurnosnih rešenja danas je da su svi “desnog micanja”. Na primjer, WAF-ovi štite okruženje za izvršavanje dok DAST testira kompajlirane aplikacije. Iako se može reći da “dobra sigurnost počinje dobrim kodom”, API-i testiraju tu izreku u određenoj mjeri, budući da je svaki API drugačiji i dolazi sa svojim jedinstvenim sigurnosnim izazovima. Postojeća rešenja takođe zahtijevaju od programera da dokumentuju svoje API-e tako da WAF i DAST rešenja znaju šta treba zaštititi i testirati. Međutim, programeri često nisu u skladu s API dokumentacijom, što dovodi do shadow API-a.
Dobra vijest je da je svaki API u aplikaciji napisan u kodu. U najmanju ruku, vaše SAST rešenje bi trebalo biti u mogućnosti da otkrije API krajnje tačke definisane u kodu i popiše ih. Ali u idealnom slučaju, takođe bi trebao biti u mogućnosti da vam pokaže koje su ranjivosti prisutne u svakom API-u, tako da sada možete dati prioritet ranjivostima koje ćete popraviti na osnovu poslovne vrijednosti API-a.
Imajući SAST + DAST zajedno na jednoj platformi
Svako ko je proveo vrijeme u razvoju softvera ili je dobio zadatak da osigura milione linija koda koji čine modernu aplikaciju, razumije da postoje mnoge metode koje su prihvaćene u industriji za skeniranje i testiranje aplikacija. Smisao skeniranja koda pomoću SAST-a je da se otkriju greške u kodiranju koje bi potencijalno mogle dovesti do ranjivosti koje se mogu iskoristiti, a svi znaju da je ranjivi kod vodeći uzrok svake poznate povrede danas. Ali vrijednost u korištenju i SAST i DAST alata je u tome što oba pronalaze različite ranjivosti.
Međutim, ako imate različite alate, to znači da njima upravljate odvojeno kroz različite interfejse, morate ići na odvojena mjesta da biste vidjeli otkrivene ranjivosti, morate analizirati i trijažirati ranjivosti različito, a fiksne ranjivosti pratiti zasebno.
Imati SAST i DAST na istoj platformi znači da možete vidjeti svoje ranjivosti na jednom mjestu, upravljati njima i trigerovati ih kroz jedan radni proces i poslati ih programerima da ih poprave kroz isti tok posla. Takođe ih možete integrisati u različitim tačkama Vašeg SDLC-a koristeći zajednički skup integracija.
I kao bonus, ako vaš SAST može otkriti i inventarizovati API-e u izvornom kodu i pronaći nedokumentirane API-e, tada takođe možete testirati te nedokumentirane API-e koristeći DAST. Ovo Vam pomaže da dobijete veću vrijednost od Vašeg SAST rešenja uzimajući u obzir njegove nalaze i poboljšavajući sigurnosne rezultate u drugim područjima na način 1+1=3.
Pronađite SAST rešenje koje Vam omogućava da napravite promjenu
Dok istražujete SAST rešenja, nesumnjivo ćete čuti mnoga obećanja o pomjeranju Vašeg AppSec-a ulijevo. Ali to više nije dovoljno. Kako moderne prakse razvoja aplikacija povećavaju upotrebu API-a, otvorenog koda i drugih inovacija, pojavljuju se novi rizici. Danas je sve aplikacija. Sada Vam je potrebna sigurnost Vaše aplikacije da se “pomjera svuda”.
Izvor: The Hacker News
