持续应用安全(CAS)白皮书
AI智能总结
持续应用安全CAS) 白皮书 数世咨询·软件供应链安全研究报告·2023 报告编号:口WC_WB_2023001 北京数字世界咨询有限公司 2023年1月 关键发现 法续应周安会(CAS) 5 参考建议 软件供应链安全分析 时代背量 6 安全现状应对恩路 7 持续应用安全分析1h 安全能力原子化10 理舍定义10 推架解读 13 相关技术简介16 1922 FUZZING 25 DAST 28 移动应用安全测试 31 RASP te 平台影力 36 *SCA16 + Decon[I/CW'B202201J 决续应同安会(CAS) 未米趋势分析41 报告结语43 Decon[I/WCW'B2023C01J单3共43 线应同安会(CAS) 持续应用安全(CAS)白皮书 数世咨询·软件供应链安全研究派告 ★✲号:DMC_MB_232300 ◆主分桥师:新基超·商战略分桥师 →分析图队:数世智本·数字安全战略开究院 持续达用安全(CAS)是基于我国钦年供达健安全现状所调生的一种解决方表,是(αS0 望含三界在我国商业市需的落实戏,激为于算决教技性思尊在数学时代我生的变全保问节产。主要计对款件供应链中资字化息用的开发义及运行方五的安金间题,安全能力要子会 (离兼式制造,集中式交付、统一化管担,等能化应同)在软斗失应域安会二内应同。 持续应同安全(C)专注于保降量零化应用的,源代码阶股一构建部开阶股一之线运行阶比 全流程的安全长权每:持续速用安全(CAS)方案可以通过委全能力高建融会和安全繁指关联分析的方式,经出统一潮度管理形点林案化的解决方来,议达到限时用户减少资源投入,禁合安全能力和题升安全效率的目的 下为我国数字安全额境的第三方设研与容访机构,数也咨访量承担员安使合,同产业累一起 以录生实战和恒新应同引领产业发系,提手解数字时代和业务实照提出的中国会宇安全间要。为苏贴区家非权限人汽中量共同体或就产业方量 Decon[I/wCW'B2023(01J 关链发观 续应月安会(CAS) 今款年实诚安全涉及及为广逐,日前来雷,我国及至全总部设有完善的体东化解共方 案以应对。 对于内业语境来说,数字委全的核心使合是等风险率持在可接变的率度,以达到经收 室最大化的日为。 安全工具的单点能方投升,在体系化防护思事中存在过序效益量减现象,并不能立接为 行业用产情来正上例的安全收益 参考建议 针获国款年供达链安全现状,可以从中技到关联过载强并且具各可落法性的环节交一实鼓,药疾女得分阶权实现款供应链安全餐休效护。 可以道过高微大制法、集中式交量、范一化管理、会能化这用的方式实球安全能方原于 ◆安全效能纳烫升和方案纳可率范性,可以实黑体需化安全建设纳收谨量大化。 今安全能有高策差合和安全数据关我分价,丹经由统-国医管理事良体表生的解实方案 可以帮助用产源少资额设入,整合安全能方和投升安全效率。 De00n[I/WC"'B2023001J单5共43 线应月安会(CAS) 软件供应链安全分析 →时代青景 阿终安金就表国家安金”,“国家安全表民款复兴为根法”,克为二十大明确出 字附代的基本件净,数字安全已经成为国家发展的基。 竞的二十大是质决大会中次以专章间理国家安全的,部进国家安全件累和能方现代 化,整决许护国家安全和社会稳定,主要量董四项整点工作,一是健全国家安全体展,二 阶段是会面建设社会主义熟代化围家新企程、向第二个百三夺斗目标进军为关键对 则。也正是全球共同通入致字时代的关键时则:在数字时代之中,不论开展急样的工作,完成什久样的偿每,都离不开数字化速用的变等与实现,而数字化速月的易无到有,易有汽精就完全离不开钦牛件达链 安全现状 在属天快与交泽车互省来为经济环境中,在效且集确的国际环资市,其在能乌施 争中已等被证实纳科技和商业变方改净工具的事实下,款件供应整安会间期则--联成为全限娱目的焦点: >安全致策 母行政今今多美国实医链于要求美国支府对关续供息练查行全审审责,以资明风险,解法 Dac0n[I/WCWB2023C01J 法线应同安会(CAS) 中将别建的专强款年实医每安全,我出了关或教作的费含,要求建文款年产品安全准 和产格的管望其以 而我间包在网路安会法3、 资学文年中,明指了对周路产品康务的安会依注和司查要 安全风 量年来,50l3rWind事作和L94[2事停将款作供点链安全情入大众议些。款件供运详 安全类复人PT改击,都具有难以对护和酸年力大的特征,但其其有更深的隐最过和更大的影有流国,大其计对关健管息基注设施和量要提城运用东统其各或灭注防或息 在BBckHs222上,有-项对列路安会专业人±内设查,其中66%的参会著担心第 三方率统和应用中的通润,5%约参会有担心云或网络服中的盈用,47%的参会督担心现成商业款件中的常来 能 2022年9月,美国自宫布了(通过安全的饮件开发实路增强饮件供应链的安全准》 本的全缺生应能面暂费求自民、国家和限建分于的元情或感,起们议图要取款等含息和 究产权,砖环致所率筑内究整生,并实施其共估第有美因政民安会可靠法问公众资决服务 →应对悬路 生数学对代,作为数学化供以性中的业要一环,软年供达降安全意日室案出并目见解决,其三经成为成感全总和平与发点的头号风险,我国是多改资易的促导者和推者,也是世界第二大经资体,在新发累基局下,软斗失应域安金更是分见要解共内间题 Dacon[I/wCWB2023C01J 法线政同安会(CAS数当咨询认为,我国款牛其这链安全沙及硬牛兼容、运行支持、算法、款件采均、款牛 开发、数据开放、基管维护等方,并且是效缘政治影有,雷要在国际宝易和法律约成的 数字化供应链安全 基码设施软件便件 图1数享化处应链安全 面对此虚款为间提,很置然不适含用一锋子要卖的方式进行全覆等的处理,一难发 大,耗时长,二来不称合实际所况,无法准弦:所以针对我因款件洪法链安会况状,数进 D00n[I/WCW'B2023001J第8共43 法应同安会(CAS)容访义为,我们可以从中找到关联注较送并且其各可落效注的环节文逐一实核,路疾步移分除成实现软牛这管安全整体防护,大致尽路步票如下: 第一阶段,表热于装斗开发和逐行维护为安全同姆,保障数字化应用为,资代码阶 构建部等队及一上线运行阶,会流程的安全软高:司时,金方配合和供核参与到改净,贸 ,法律年方的研究和排经工作当中: 部二所投,资入效据开放的安全同避,保障数字化业务建表、格续运管,量安全能方的经济效整和品降影有力 第三降股,形点完基的教件伙息基安全防护体系,资数字商业、数字政府和数字社会轻 较降,加速款字叶代进程 Dec0n[IWCB2023001, 线应同安会(CAS) 持续应用安全分析 →安全能力原子化 款世咨调认为,基于科议和人受发总内究定事实与划势,数字安全慢资转变根本思路, 最蓄业净通辑和管当流程,深生于合息系统和业务速月之中,而只有子化才能原生化 安全能方原子化(编内客参见数世资询相关股告,深号:D%_WB_2023006)的核心 整念为离最式划终,集中式交价,统一化管整,查能化速用,原子化是为了满是大交数字 业务场量和著实的多样注以及安全能力的有效注 将安会建方以原子化内形文资供,每--人安会能方原于只究成--最小化且有高义法安全控该或常读作,通过对商业率统应同的逐辑与流程匹配,根据不同承长,月产群体或特深要表,共享安全数据并上持续,改高编排安全能力组合成为西配业务逐辑和管理流程的安全欢能,真正实现格合业每特注的安全能力。 安全能方原子化是一并的向来来的安全型含,终续区用安全(AS)法是该驻念毛较作 应能安全间建三的应用 →理念定义 续应用安全(CAS)是专注于保降数事化应用的,源代阶设一高建部界阶投-上线运行阶收,全法存的资全获多。持续息用实全((限」司收理注安全能究高度装合和安全数关联分析的方式,经由统一调度管型梦成体东化的解决方案,以述到帮时用产累少资源投入,整合安全能力和遂计安金效率的目的 01 Dacon[I/wCWB2023C01J 法线应同安会(CAS) 数字化应用,乳在案垂就是获们日常房详为款停、、立用鼠务等,未来可能出于硬 件或代码将评模式的技术突该,格会经量更多种类的由代号生成的效字化物品,就现在文讲,我们将数字化应同概括注的分为五入阶段: 源代码阶 运营服务阶局 业务架构阶段上战运行阶段 图2数宇化应用欧 业务架情阶民:重务可行性分析,确定款制准架和运营模文,安全的关注方向为系统, 2、源代码阶投:议单续的施辑,计算诺可和类库为主的代码,安全的关注方向为开源净可 和代码(开自宝代码)消润; 3)有部需阶段:形成业务功能交殖强的强序,安金的关注方向为程序逻道肃正和业务可 用性; 4)上费运行除股:对技业券款据和用户行为的致件,安会的关注方间为因终资和业务安全(内技术和管理的南测企业地职的资失); 5经管及务阶投:理过技术能力和业务数书益利并且整够提供增值鼠务,安全的关注方向 为数诺安全、尊私保护和业务连续性。 De00n[IWC'B2023001] 法续应同安会(CAS)各个阶投都有其各白为情性,也担有主要的安全关注方向,望注并不表示其起安全国系 不露委考烹比如需求,就会发穿数字化这用的全部阶段,比如加资、身汉辽等安全型属,也儿子案数字化应同的全部阶段, 对练应用安会(CAS)品阶段主要聚焦于源代西阶投一为建部齐阶投-上强运行阶投,回为这三个阶授是代码纠业海的具体实现注程,他们之同的流程操作性是量强的,它是安全 注工作对企业收益最大化的环卡,垂I/管通中,业务流和安全工具可以通社自动化的方式级文的资行资合,便和心无够的状态下建行安全能力的传司和受,达安全保降的效果 持续应用安全(CAS)保障阶段 源代码阶段构建部署阶段上线运行阶段 SCAWSTRASP LSVSDAST FJZZING 移动6用要全试 33益续应用安全保障阶投 源代码阶段,主要安全手段为SCA、SAST;神建帮等阶投主要安全手段为IAST、DAST、FL.ZZING;上照运行阶段主要安全手为RASP、移站应用安全测法: Dacon[I/CwW'B2023c01J第123共433i 法线应周安会(CAS) 》持续医用安全(CAS)定义 将上房望,数型咨谢对续医用安全(4)的定义如下: 道过一个统一餐理平台,将SCA、SAST、IAST、CAST、FUZZING、RASP、移动应同安含测 于应用的开发,部要,董行全流程:并且可以书安全数据关联分析的路灵,支情至各安全 能力来持续法化安全保降的效果 S定义润速了主要均成以及校心能力,而对于一个完整的CAS而言,它必频能够有效 利同业务逐辑的司险,动南证告商业和法举合保常况:害要道试自动化内方式与CI,CD流程对接。联通安全能力和致据。根据业务承最和个性等求动毒编非安会能方:寻于利同安全数据的与能分析,或少读技,精准情警,构是司持读文展的数学化达用安全保率停象 一个完整的CAS源要包含SCA、SAST、IAST、(AST、FUZZINS、RASP、移致送月安全 试等资全服力,以平台化的梦式变价,经并不表尔吸发致要含全部安全能究才以对用户交性,害要特别声明的一点是,用产扭务自由增源安全能方和自主通率续商内权利,亏--个CAS产品的交付帮要以区配同户实际生产环境为做据: →推架解读 上文已好资到,对续应用安全(45)可议逐过安全能力商意融合和安全数据关联分析的方式,经由统一调度管整形成体累化的解决方表,以述到帮明用户※少资源投入,整合安全能力和晟汁安全效率的日的 为了快谈者更好为大是师,我们照制了一个算单的相至(相案图持跌更新,当前版 Dacon[I/WCWB2023(01J 第13共43, @ 应月安含(CAS) 2.2)求说明,持快应用安全(C45)或价直用步全格力要子名(高级式制造、策一式交 作、集中式管型、智能式应用)的理念,米慎安全能力具备可持续发展性的 化编排 DevOps AI Al Al CAS叠加数据流 ML ML ML 罕台自动
