Современные DevOps-команды постоянно работают под давлением необходимости совмещать скорость разработки с безопасностью. Традиционный DAST выявляет реальные риски, которые могут быть эксплуатированы, однако обычно не дает четкого расположения проблемного кода. Поэтому командам приходится вручную отслеживать первопричину, что может длиться часы, дни или даже недели.
Новая корреляция DAST и SAST в Invicti ASPM решает эту проблему, объединяя результаты динамического тестирования с результатами SAST. Это помогает определить точную строку исходного кода и разработчика, внесшего соответствующее изменение. Благодаря уменьшению шума и устранению ложноположительных результатов такой унифицированный подход ускоряет устранение уязвимостей и лучше согласовывает работу AppSec и DevOps-команд для более быстрых и более уверенных релизов.
Непростые отношения DevOps с DAST
Результаты DAST требуют быстрой ревкции со стороны руководителей DevOps, поскольку динамическое тестирование показывает риски, которые могут быть эксплуатированы в рабочих средах. Однако в отличие от SAST традиционные результаты DAST обычно не содержат четкой информации о том, где именно расположен проблемный код и кто из разработчиков его добавил.
После получения предупреждения команды разработки вынуждены срочно искать первопричину в репозиториях кода. Это трудоемкий процесс, который занимает много времени. Анализ первопричины может занять часы, дни или недели, особенно в сложных распределенных системах. А современные приложения часто являются сетью слабо связанных API-микросервисов.
Традиционно веб-приложения, созданные для пользователей, проходят DAST-сканирование на поздних этапах релизного цикла под контролем команд безопасности. Это происходит после того, как все составляющие приложения уже доступны и собраны в staging-среде или среде продакшна. Если результаты DAST появляются в конце согласованных сроков поставки, принятие решений становится особенно сложным. В то же время современные приложения, в частности Single Page Applications (SPA), веб-приложения и API-приложения для machine-to-machine взаимодействия, строятся на основе распределенных API-микросервисов. API, естественно, позволяют проводить DAST-сканирование ранее в цикле разработки (на уровне микросервиса, модуля или подсистемы).
Когда подтвержденные риски безопасности оказываются в конце пайплайна доставки, DevOps-руководителям приходится быстро принимать сложное решение, чтобы соблюсти сроки:
- остановить сборку;
- принять риск – временно снизить его другими мерами или исправить проблему позже.
Это сложный выбор. Нарушение сроков означает необходимость сообщать руководству неприятные новости, в то время как выпуск уязвимых приложений повышает риски. Это особенно критично, учитывая средний по отрасли срок устранения проблем безопасности в продакшне – 60 дней. Несмотря на это, во многих организациях приоритеты бизнеса часто преобладают, поэтому принятие риска вместо остановки инноваций остается наиболее распространенным сценарием.
По мере развития зрелости DevSecOps организаций традиционные границы между статическим и динамическим тестированием должны исчезать. Нужен унифицированный подход, который переносит обнаружение уязвимостей, подтвержденных во время выполнения, левее в процессе разработки, туда, где исправление более быстрое, дешевле и значительно менее разрушительное для процессов. Такой подход должен сочетать широкое покрытие статического анализа с точностью DAST и работать со скоростью, в которой нуждаются современные пайплайны доставки.
Что такое корреляция DAST и SAST?
Новая корреляция DAST и SAST в Invicti ASPM помогает решить постоянные вызовы, с которыми сталкиваются руководители Security и DevOps. Она связывает результаты DAST с результатами SAST, часто нуждающимися в дополнительной проверке. Такой метод корреляции позволяет получить информацию о возможности эксплуатации и доступности уязвимости, а также определить расположение проблемного кода и добавившего его разработчика в одном предупреждении.
В результате команды безопасности и DevOps могут уменьшить шум, быстрее принимать решения о релизах и устранять реальные риски на основе четкой и практической информации. Это снижает объем ручной работы, повышает доверие разработчиков и улучшает как результаты безопасности, так и процессы снабжения.
Преимущества
- Повышается доверие к подтвержденным результатам благодаря меньшему количеству излишних срабатываний.
- Становится понятно, кто отвечает за исправление.
- Усиливается приоритетизация рисков.
- Дубликаты результатов объединяются.
- Улучшается качество KPI и соответствие требованиям комплаенса.
Как это работает
Чтобы выполнить корреляцию результатов DAST и SAST, Invicti ASPM анализирует подключенные репозитории кода и извлекает все конечные точки API в проекте. После этого строится граф зависимостей вызовов – карта того, как каждая конечная точка проходит через кодовую базу до 10 уровней вглубь. Результаты SAST и DAST накладываются на этот граф, что позволяет создавать точные корреляции между многими корреляциями. Такие корреляции показывают не просто то, что определенная конечная точка уязвима. Они также демонстрируют, какие результаты SAST соответствуют результатам DAST и какие пути в коде задействованы.
Корреляция работает с любыми SAST- и DAST-решениями, интегрированными с Invicti ASPM. Платформа поддерживает более 100 бесшовных интеграций со сканерами.
Работает ли это для каждого результата DAST?
Чтобы корреляция DAST и SAST сработала, инвентарь уязвимостей Invicti ASPM должен содержать результат DAST и не менее одного результата SAST, который можно сопоставить. Соответственно, этот подход ограничен уязвимостями, которые могут быть обнаружены обоими инструментами.
Приведенная ниже диаграмма Венна показывает, какие типы уязвимостей могут обнаруживать статические и динамические сканеры, где их покрытие пересекается и какие результаты могут являться предметами корреляции.
Вывод
Современные команды DevOps постоянно балансируют между скоростью и безопасностью, поскольку традиционные подходы DAST часто подтверждают риски на поздних этапах CI/CD-цикла. Это приводит к более медленному устранению проблем и более длительному периоду влияния риска.
Корреляция DAST и SAST в Invicti ASPM решает эту проблему, связывая результаты динамического тестирования с точным контекстом исходного кода. Сочетание подтверждения возможности эксплуатации с видимостью на уровне разработчика помогает быстро определять, приоритизировать и устранять реальные уязвимости без лишнего расследования.
Такой подход отсеивает нерелевантные результаты, ускоряет исправление и лучше связывает процессы безопасности с процессами DevOps. В результате организации могут быстрее поставлять безопасные приложения и принимать более уверенные решения с учетом рисков.
Если вы хотите получить бесплатную пробную версию Invicti ASPM, оставьте свои контактные данные ниже и мы свяжемся с вами.
