Сучасні DevOps-команди постійно працюють під тиском необхідності поєднувати швидкість розробки із безпекою. Традиційний DAST виявляє реальні ризики, які можуть бути експлуатовані, однак зазвичай не надає чіткого розташування проблемного коду. Через це командам доводиться вручну відстежувати першопричину, що може тривати години, дні або навіть тижні.
Нова кореляція DAST і SAST в Invicti ASPM вирішує цю проблему, пов’язуючи результати динамічного тестування з результатами SAST. Це допомагає визначити точний рядок вихідного коду та розробника, який вніс відповідну зміну. Завдяки зменшенню шуму та усуненню хибнопозитивних результатів такий уніфікований підхід пришвидшує усунення вразливостей і краще узгоджує роботу AppSec та DevOps-команд для швидших і впевненіших релізів.
Непрості відносини DevOps із DAST
Результати DAST потребують швидкої уваги з боку DevOps-керівників, оскільки динамічне тестування показує ризики, які можуть бути експлуатовані в робочих середовищах. Однак, на відміну від SAST, традиційні результати DAST зазвичай не містять чіткої інформації про те, де саме розташований проблемний код і хто з розробників його додав.
Після отримання попередження команди розробки змушені терміново шукати першопричину в репозиторіях коду. Це трудомісткий процес, який забирає багато часу. Аналіз першопричини може тривати години, дні або тижні, особливо у складних розподілених системах. А сучасні застосунки часто є мережею слабко пов’язаних API-мікросервісів.
Традиційно вебзастосунки створені для користувачів проходять DAST-сканування на пізніх етапах релізного циклу під контролем команд безпеки. Це відбувається після того, як усі складові застосунку вже доступні та зібрані в staging-середовищі або середовищі продакшну. Якщо результати DAST з’являються наприкінці узгоджених строків постачання, ухвалення рішень стає особливо складним. Водночас сучасні застосунки, зокрема Single Page Applications (SPA), вебзастосунки та API-застосунки для machine-to-machine взаємодії, будуються на основі розподілених API-мікросервісів. API природно дають змогу проводити DAST-сканування раніше в циклі розробки (на рівні мікросервісу, модуля або підсистеми).
Коли підтверджені ризики безпеки виявляються наприкінці пайплайну доставки, DevOps-керівникам доводиться швидко ухвалювати складне рішення, щоб дотриматися строків:
- зупинити збірку;
- прийняти ризик – тимчасово знизити його іншими заходами або виправити проблему пізніше.
Це складний вибір. Порушення строків означає необхідність повідомляти керівництву неприємні новини, тоді як випуск вразливих застосунків підвищує ризики. Це особливо критично з огляду на середній по галузі строк усунення проблем безпеки в продакшні – 60 днів. Попри це, у багатьох організаціях пріоритети бізнесу часто переважають безпеку, тому прийняття ризику замість зупинки інновацій залишається найпоширенішим сценарієм.
У міру розвитку зрілості DevSecOps організацій традиційні межі між статичним і динамічним тестуванням мають зникати. Потрібен уніфікований підхід, який переносить виявлення вразливостей, підтверджених під час виконання, лівіше в процесі розробки, туди, де виправлення є швидшим, дешевшим і значно менш руйнівним для процесів. Такий підхід має поєднувати широке покриття статичного аналізу з точністю DAST і працювати зі швидкістю, якої потребують сучасні пайплайни доставки.
Що таке кореляція DAST і SAST?
Нова кореляція DAST і SAST в Invicti ASPM допомагає вирішити постійні виклики, з якими стикаються керівники напрямів Security та DevOps. Вона пов’язує результати DAST із результатами SAST, які часто потребують додаткової перевірки. Такий метод кореляції дає змогу отримати інформацію про можливість експлуатації та доступність вразливості, а також визначити розташування проблемного коду й розробника, який його додав, в одному попередженні.
У результаті команди безпеки та DevOps можуть зменшити шум, швидше ухвалювати рішення щодо релізів і усувати реальні ризики на основі чіткої та практичної інформації. Це знижує обсяг ручної роботи, підвищує довіру розробників і покращує як результати безпеки, так і процеси постачання.
Переваги
- Підвищується довіра до підтверджених результатів завдяки меншій кількості зайвих спрацювань.
- Стає зрозуміло, хто відповідає за виправлення.
- Посилюється пріоритезація ризиків.
- Дублікати результатів об’єднуються.
- Покращується якість KPI та відповідність вимогам комплаєнсу.
Як це працює
Щоб виконати кореляцію результатів DAST і SAST, Invicti ASPM аналізує підключені репозиторії коду та витягує всі кінцеві точки API у проєкті. Після цього будується граф залежностей викликів – карта того, як кожна кінцева точка проходить через кодову базу, до 10 рівнів углиб. Результати SAST і DAST накладаються на цей граф, що дає змогу створювати точні кореляції між багатьма кореляціями. Такі кореляції показують не просто те, що певна кінцева точка є вразливою. Вони також демонструють, які результати SAST відповідають результатам DAST і які саме шляхи в коді задіяні.
Кореляція працює з будь-якими SAST- і DAST-рішеннями, інтегрованими з Invicti ASPM. Платформа підтримує понад 100 безшовних інтеграцій зі сканерами.
Чи працює це для кожного результату DAST?
Щоб кореляція DAST і SAST спрацювала, інвентар вразливостей Invicti ASPM має містити результат DAST і щонайменше один результат SAST, який можна зіставити. Відповідно, цей підхід обмежений вразливостями, які можуть бути виявлені обома інструментами.
Наведена нижче діаграма Венна показує, які типи вразливостей можуть виявляти статичні та динамічні сканери, де їхнє покриття перетинається та які результати можуть бути предметами кореляції.
Висновок
Сучасні команди DevOps постійно балансують між швидкістю та безпекою, оскільки традиційні підходи DAST часто виявляють підтверджені ризики на пізніх етапах CI/CD-циклу. Це призводить до повільнішого усунення проблем і довшого періоду впливу ризику.
Кореляція DAST і SAST в Invicti ASPM вирішує цю проблему, пов’язуючи результати динамічного тестування з точним контекстом вихідного коду. Поєднання підтвердження можливості експлуатації з видимістю на рівні розробника допомагає швидко визначати, пріоритезувати й усувати реальні вразливості без зайвого розслідування.
Такий підхід відсіює нерелевантні результати, пришвидшує виправлення та краще узгоджує процеси безпеки з процесами DevOps. У результаті організації можуть швидше постачати безпечні застосунки та ухвалювати впевненіші рішення з урахуванням ризиків.
Якщо ви хочете отримати безкоштовну пробну версію Invicti ASPM, залиште свої контактні дані нижче, і ми зв’яжемося з вами.
