从RSAC创新沙盒入围企业看应用安全的发展与趋势
日前,2023年度RSAC创新沙盒大赛公布了十家入围创新安全厂商名单,其中值得关注的是,名单中有四家企业都和应用安全(包括软件供应链安全、DevSecOps、应用交互安全等)相关。这也是继2020年之后,应用软件安全再一次成为RSAC创新沙盒大赛上最受关注的焦点领域。
应用安全持续受到关注
简单回顾最近几届RSAC创新沙盒大赛的入围企业情况,就可以发现,应用安全这一技术领域始终具有较高的行业关注度。在2020年的RSA创新沙盒大赛中,软件应用安全企业占据了最终入围名单的“半壁江山”,共有5家入围企业与应用软件安全相关,分别是:
AppOmni:SSPM(SaaS Security Posture Management、SaaS应用系统安全态势管理);
BluBracket:代码应用安全;
ForAllSec:模糊测试(主要用于汽车、航空等高科技行业,现在增加了API安全能力);
Obsidian Security:SSPM;
Sqreen:RASP(应用运行时安全检测)。
尽管2020年最后的冠军得主是聚焦隐私与数据安全的Securiti.ai公司,但是应用软件安全技术与相关代表性企业无疑也是当年RSAC创新沙盒大赛的最大赢家之一。
到了2021年,虽然仅有两家应用安全相关的企业入围大赛十强,但是其中的Apiiro公司最后一举拿下当年的RSAC创新沙盒大赛冠军;而另一家入围企业Wabbi则因为提供了创新DevSecOps平台,也具有了非常高的人气。
在2022年,大赛十强企业中仍然有一家应用软件安全厂商入围,就是致力于提供应用软件安全平台的Cycode公司,同时其还具备发现硬编码机密信息、SAST以及“下一代SCA”等应用软件安全能力。
如果说2022年的创新沙盒大赛中,入围的应用软件安全相关企业数量并不多,那么在今年的RSA创新沙盒比赛中,应用软件安全相关企业再次卷土重来,入围数量有一次占据了近半壁江山。通过回顾这些创新应用安全厂商们在RSAC创新沙盒大赛中的表现,我们可以发现新一代应用安全技术的一些典型发展特征和趋势:
1、DevSecOps和软件供应链安全将应用安全的范围大大延伸。无论是DevSecOps的应用,还是企业用户对SaaS化服务系统的依赖,都使得应用安全的范围被扩大化:应用安全需要涵盖软件系统从开发到运行的全生命周期,同时还需要考虑在云端复杂环境下的交互,也就是需要将安全从应用本身延伸到业务运营、日常办公等各个应用使用场景中。
2、DevSecOps对SDLC(软件开发流程管控)各个环节的安全性提出了更高的要求。由于敏捷式开发更快、更高效地迭代应用,不可避免地会产生更多的安全隐患。因此DevSecOps对开发和运营也带来了更高的要求:
首先是自动化能力的必要性,因为缺乏自动化就无法进行开发和部署的提速;
其次是能力的全面性,需要覆盖不仅仅是传统的SAST,以及应对开源组件的SCA,还有各种新的安全需求——比如模糊测试和应用中的API安全(比如2020年入围的ForAllSecure);
最后是对完整SDLC的把控,将各个阶段的安全需求统一管理——比如2021年的冠军Apiiro。
3、软件供应链安全不仅只是开源安全。开源组件安全的重要性毋庸置疑,但是企业环境中的第三方软件同样是软件供应链安全重要的组成部分。如果说打通软件供应链上下游之间的SBOM是相对静态的措施(事实上,由于开源组件的更新,SBOM并不是静态的),那么实时监控不同应用之间的行为就是动态的措施——尤其是在云环境的大趋势下。这方面的代表企业,是2020年的创新沙盒入围厂商AppOmni与Obsidian Security。
2023年度入围企业观察
在今年的RSAC创新沙盒大赛中,最终入围的应用安全相关企业,覆盖了多个软件供应链安全和DevSecOps的维度,也体现了新一代应用安全技术不只是需要“左移”,更应该下沉到应用开发环境的各个环节中去。
Endor Labs是目前很受关注的一家入围企业,其专注于依赖性关系管理的能力是SCA产品的必备元素,而SCA也是国内软件供应链安全中最热门的可落地产品。但是,Endor Labs始终强调其产品与传统SCA产品并不相同,Endor Labs更强调的是基于依赖性关系来实现整个应用的安全性优化与能力提升,包括通过多维度的漏洞优先级优化,实现对最终软件成品的安全分析,并不断提升分析的准确度,以及在关注应用漏洞的同时关注运营漏洞等。
可以认为,Endor Labs代表了一种更加先进的应用安全理念:企业建立SBOM只是基础,而依赖性关系梳理和分析才是整个应用开发安全性管控建设的核心。通过依赖性关系分析,安全运营人员就可以了解应用的整体结构,包括应用当中存在的各种组件。而在此之上,对依赖性关系的优化,不仅能够帮助开发人员选择最佳的开源组件,还能让开发人员找到对应用影响最小的更新方式,从而直接对开发人员产生价值。而对安全人员,从依赖性关系的角度管理开源组件的安全性,不仅可以提高准确性与全面性,还能够基于SBOM对自研代码、开源组件以及第三方供应商进行应用可视化管理。
通过将SCA中必须要存在的“依赖性关系分析”这一点提升到“依赖性生命周期管理”的高度,Endor Labs公司无疑是为各大SCA方案厂商提供了一个改进自己产品能力的重要思路和方向。
除了Endor Labs,另一家入围企业Pangea也认为:开发者不需要成为安全专家,也同样可以开发出安全、合规的软件应用系统。Pangea是一家“Security Platform as a Service(安全平台即服务)”企业,基于一个单独的安全平台,以微服务的方式,将各种安全能力通过API接口输出给客户,包括安全日志审计、各类威胁情报、敏感数据泄露防护,以及防止代码泄露密钥等服务。
Pangea的特点在于,提出了“以人为本”的应用安全建设思路,实现了企业对应用合规建设和业务高效开展之间的平衡,开发人员只需要知道自己应该满足的合规要求有哪些,以及自己需要考虑到的应用安全隐患有哪些,剩下的实现则交由Pangea的平台来处理,开发人员只要通过API调用相关功能,就能将安全与合规嵌入到应用中。
除了Endor Labs与Pangea两家直接关注应用本身安全的企业外,今年入围的另外两家应用安全企业Astrix Security与Valence Security则主要从应用的交互角度关注应用软件的安全性。
Astrix Security主打“securing app-to-app connections”,是一种实现第三方应用与企业核心系统安全连接的解决方案。在Astrix Security的解决方案中,一方面专注于应用的身份,通过身份安全的延展,将人类身份的安全延展到了非人类身份的安全;另一方面,也可以对软件供应链进行防护,对业务体系中各种第三方供应软件交互进行管理。
Valence Security公司则和2020年度入围RSAC创新沙盒大赛的AppOmni和Obsidian Security公司一样,专注于SSPM(SaaS Security Posture Management, SaaS安全态势管理)。SSPM无论是对于企业的DevSecOps建设,还是软件供应链安全的管理,都会有非常重要的作用和帮助。2020年AppOmni和Obsidian Security尽管入围后未能夺冠,但是在2020年的SolarWinds事件以及2021年的Log4j安全事件后,Valence Security能否作为SSPM技术发展的代表一举夺魁也值得关注。
而另一家入围的安全厂商Dazz,也和应用安全有较大关系。虽然Dazz的解决方案目标是修复云端存在的安全隐患,尤其是配置错误问题;但同时,由于DevSecOps已经开始被越来越多的企业所接受,因此基于云环境的应用生命周期安全也格外重要。Dazz在其官网上也明确提到了“连接现有的安全工具和管道,实现从代码到云端的安全洞察,并且将修复能力自动化集成到开发工作流中”。
事实上,我们可以看到,多家应用安全企业都在从传统应用安全领域向云安全领域进行能力拓展,包括Snyk、Veracode以及2021年的RSA创新沙盒冠军Apiiro等。此外,不仅仅是DevSecOps本身对云环境的要求,同时随着IaC(Infrastructure as Code,基础设施即代码)的应用进一步普及,云安全本身也会越来越难以离开应用安全。
结语
无论今年RSAC创新沙盒大赛最终冠军是谁,应用安全都已经是一个值得所有人重点关注的安全领域。如果说DevSecOps和软件供应链安全只是从概念层面开始对应用安全发展有了新的理解,SolarWinds和Log4j是真切的让企业感受到应用安全风险,那么今年入围RSAC创新沙盒大赛的创新企业就代表着应用安全技术在产品方面的开拓和实践。随着数字化应用在企业业务开展中的作用越来越重要,威胁也会日益加剧,未来的应用安全必然要实现全场景、全环节的覆盖,并且最重要的是——应用安全要能够真正融入企业的业务工作流,让更多的应用相关方能够顺畅地使用,才能真正全面提升应用安全的最终效益。
相关阅读