日前,2023年度RSAC創新沙盒大賽公布了十家入圍創新安全廠商名單,其中值得關注的是,名單中有四家企業都和應用安全(包括軟件供應鏈安全、DevSecOps、應用交互安全等)相關。這也是繼2020年之后,應用軟件安全再一次成為RSAC創新沙盒大賽上最受關注的焦點領域。

應用安全持續受到關注

簡單回顧最近幾屆RSAC創新沙盒大賽的入圍企業情況,就可以發現,應用安全這一技術領域始終具有較高的行業關注度。在2020年的RSA創新沙盒大賽中,軟件應用安全企業占據了最終入圍名單的“半壁江山”,共有5家入圍企業與應用軟件安全相關,分別是:

  • AppOmni:SSPM(SaaS Security Posture Management、SaaS應用系統安全態勢管理);
  • BluBracket:代碼應用安全;
  • ForAllSec:模糊測試(主要用于汽車、航空等高科技行業,現在增加了API安全能力);
  • Obsidian Security:SSPM;
  • Sqreen:RASP(應用運行時安全檢測)。

盡管2020年最后的冠軍得主是聚焦隱私與數據安全的Securiti.ai公司,但是應用軟件安全技術與相關代表性企業無疑也是當年RSAC創新沙盒大賽的最大贏家之一。

到了2021年,雖然僅有兩家應用安全相關的企業入圍大賽十強,但是其中的Apiiro公司最后一舉拿下當年的RSAC創新沙盒大賽冠軍;而另一家入圍企業Wabbi則因為提供了創新DevSecOps平臺,也具有了非常高的人氣。

在2022年,大賽十強企業中仍然有一家應用軟件安全廠商入圍,就是致力于提供應用軟件安全平臺的Cycode公司,同時其還具備發現硬編碼機密信息、SAST以及“下一代SCA”等應用軟件安全能力。

如果說2022年的創新沙盒大賽中,入圍的應用軟件安全相關企業數量并不多,那么在今年的RSA創新沙盒比賽中,應用軟件安全相關企業再次卷土重來,入圍數量有一次占據了近半壁江山。通過回顧這些創新應用安全廠商們在RSAC創新沙盒大賽中的表現,我們可以發現新一代應用安全技術的一些典型發展特征和趨勢:

1、DevSecOps和軟件供應鏈安全將應用安全的范圍大大延伸。無論是DevSecOps的應用,還是企業用戶對SaaS化服務系統的依賴,都使得應用安全的范圍被擴大化:應用安全需要涵蓋軟件系統從開發到運行的全生命周期,同時還需要考慮在云端復雜環境下的交互,也就是需要將安全從應用本身延伸到業務運營、日常辦公等各個應用使用場景中。

2、DevSecOps對SDLC(軟件開發流程管控)各個環節的安全性提出了更高的要求。由于敏捷式開發更快、更高效地迭代應用,不可避免地會產生更多的安全隱患。因此DevSecOps對開發和運營也帶來了更高的要求:

  • 首先是自動化能力的必要性,因為缺乏自動化就無法進行開發和部署的提速;
  • 其次是能力的全面性,需要覆蓋不僅僅是傳統的SAST,以及應對開源組件的SCA,還有各種新的安全需求——比如模糊測試和應用中的API安全(比如2020年入圍的ForAllSecure);
  • 最后是對完整SDLC的把控,將各個階段的安全需求統一管理——比如2021年的冠軍Apiiro。

3、軟件供應鏈安全不僅只是開源安全。開源組件安全的重要性毋庸置疑,但是企業環境中的第三方軟件同樣是軟件供應鏈安全重要的組成部分。如果說打通軟件供應鏈上下游之間的SBOM是相對靜態的措施(事實上,由于開源組件的更新,SBOM并不是靜態的),那么實時監控不同應用之間的行為就是動態的措施——尤其是在云環境的大趨勢下。這方面的代表企業,是2020年的創新沙盒入圍廠商AppOmni與Obsidian Security。

2023年度入圍企業觀察

在今年的RSAC創新沙盒大賽中,最終入圍的應用安全相關企業,覆蓋了多個軟件供應鏈安全和DevSecOps的維度,也體現了新一代應用安全技術不只是需要“左移”,更應該下沉到應用開發環境的各個環節中去。

Endor Labs是目前很受關注的一家入圍企業,其專注于依賴性關系管理的能力是SCA產品的必備元素,而SCA也是國內軟件供應鏈安全中最熱門的可落地產品。但是,Endor Labs始終強調其產品與傳統SCA產品并不相同,Endor Labs更強調的是基于依賴性關系來實現整個應用的安全性優化與能力提升,包括通過多維度的漏洞優先級優化,實現對最終軟件成品的安全分析,并不斷提升分析的準確度,以及在關注應用漏洞的同時關注運營漏洞等。

可以認為,Endor Labs代表了一種更加先進的應用安全理念:企業建立SBOM只是基礎,而依賴性關系梳理和分析才是整個應用開發安全性管控建設的核心。通過依賴性關系分析,安全運營人員就可以了解應用的整體結構,包括應用當中存在的各種組件。而在此之上,對依賴性關系的優化,不僅能夠幫助開發人員選擇最佳的開源組件,還能讓開發人員找到對應用影響最小的更新方式,從而直接對開發人員產生價值。而對安全人員,從依賴性關系的角度管理開源組件的安全性,不僅可以提高準確性與全面性,還能夠基于SBOM對自研代碼、開源組件以及第三方供應商進行應用可視化管理。

通過將SCA中必須要存在的“依賴性關系分析”這一點提升到“依賴性生命周期管理”的高度,Endor Labs公司無疑是為各大SCA方案廠商提供了一個改進自己產品能力的重要思路和方向。

除了Endor Labs,另一家入圍企業Pangea也認為:開發者不需要成為安全專家,也同樣可以開發出安全、合規的軟件應用系統。Pangea是一家“Security Platform as a Service(安全平臺即服務)”企業,基于一個單獨的安全平臺,以微服務的方式,將各種安全能力通過API接口輸出給客戶,包括安全日志審計、各類威脅情報、敏感數據泄露防護,以及防止代碼泄露密鑰等服務。

Pangea的特點在于,提出了“以人為本”的應用安全建設思路,實現了企業對應用合規建設和業務高效開展之間的平衡,開發人員只需要知道自己應該滿足的合規要求有哪些,以及自己需要考慮到的應用安全隱患有哪些,剩下的實現則交由Pangea的平臺來處理,開發人員只要通過API調用相關功能,就能將安全與合規嵌入到應用中。

除了Endor Labs與Pangea兩家直接關注應用本身安全的企業外,今年入圍的另外兩家應用安全企業Astrix Security與Valence Security則主要從應用的交互角度關注應用軟件的安全性。

Astrix Security主打“securing app-to-app connections”,是一種實現第三方應用與企業核心系統安全連接的解決方案。在Astrix Security的解決方案中,一方面專注于應用的身份,通過身份安全的延展,將人類身份的安全延展到了非人類身份的安全;另一方面,也可以對軟件供應鏈進行防護,對業務體系中各種第三方供應軟件交互進行管理。

Valence Security公司則和2020年度入圍RSAC創新沙盒大賽的AppOmni和Obsidian Security公司一樣,專注于SSPM(SaaS Security Posture Management, SaaS安全態勢管理)。SSPM無論是對于企業的DevSecOps建設,還是軟件供應鏈安全的管理,都會有非常重要的作用和幫助。2020年AppOmni和Obsidian Security盡管入圍后未能奪冠,但是在2020年的SolarWinds事件以及2021年的Log4j安全事件后,Valence Security能否作為SSPM技術發展的代表一舉奪魁也值得關注。

而另一家入圍的安全廠商Dazz,也和應用安全有較大關系。雖然Dazz的解決方案目標是修復云端存在的安全隱患,尤其是配置錯誤問題;但同時,由于DevSecOps已經開始被越來越多的企業所接受,因此基于云環境的應用生命周期安全也格外重要。Dazz在其官網上也明確提到了“連接現有的安全工具和管道,實現從代碼到云端的安全洞察,并且將修復能力自動化集成到開發工作流中”。

事實上,我們可以看到,多家應用安全企業都在從傳統應用安全領域向云安全領域進行能力拓展,包括Snyk、Veracode以及2021年的RSA創新沙盒冠軍Apiiro等。此外,不僅僅是DevSecOps本身對云環境的要求,同時隨著IaC(Infrastructure as Code,基礎設施即代碼)的應用進一步普及,云安全本身也會越來越難以離開應用安全。

結語

無論今年RSAC創新沙盒大賽最終冠軍是誰,應用安全都已經是一個值得所有人重點關注的安全領域。如果說DevSecOps和軟件供應鏈安全只是從概念層面開始對應用安全發展有了新的理解,SolarWinds和Log4j是真切的讓企業感受到應用安全風險,那么今年入圍RSAC創新沙盒大賽的創新企業就代表著應用安全技術在產品方面的開拓和實踐。隨著數字化應用在企業業務開展中的作用越來越重要,威脅也會日益加劇,未來的應用安全必然要實現全場景、全環節的覆蓋,并且最重要的是——應用安全要能夠真正融入企業的業務工作流,讓更多的應用相關方能夠順暢地使用,才能真正全面提升應用安全的最終效益。

沙盒 軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接