【产品那些事】什么是应用程序安全态势管理(ASPM)?

前言

随着现代软件开发实践的快速演变，特别是在敏捷开发和 DevOps 的推动下，应用程序安全变得更加复杂和动态，传统的安全措施往往难以跟上快速发布和部署的节奏，因此需要一种更综合的方法来管理应用程序的安全态势。

当前应用安全(AppSec)推进遇到的问题

• 高昂的维护成本和冗余工作：公司可能采购了多种应用安全扫描工具（如 SCA、SAST、DAST、IAST 等），每个工具会生成大量的漏洞报告。如何区分哪些漏洞具有实际威胁，以及哪些漏洞需要优先处理，成为一大难题。此外，每种工具都可能产生误报，需人工进一步确认，这不仅增加了维护成本，还导致工作效率低下。
• 难以统一安全标准：各种工具和平台的安全标准难以统一，不同厂商倾向于构建各自的生态系统，这导致企业缺乏一致的安全框架，使得不同团队之间难以协作，增加了管理的复杂性。
• 工具之间的集成挑战：在企业进行安全建设时，通常希望构建一个“安全中台”系统，统一管理内部的所有安全产品，并通过一个Dashboard大屏向领导层展示安全工作的成果。这种方法在理论上是可行的，但实际操作中，集成各类安全工具成为了一个重大挑战。工程师不仅需要了解整个开发流程和各类安全产品，还要深入理解公司业务，将其与安全工具的集成有效结合。然而，许多所谓的“中台”系统在实现过程中，仅仅是简单地嵌入各类工具，未能实现深度整合，导致工作效果仅仅是1+1=2，缺乏实质性的协同增效。
• 覆盖不全面和疏漏：安全措施在推进过程中存在疏漏，无法全面覆盖所有应用。
• 影响产品交付效率：应用安全测试通常在软件开发的不同阶段进行，不同团队间的测试结果传递效率低下，导致项目进展缓慢。安全工作的低效处理可能拖延产品交付时间，无法满足客户的服务水平协议（SLA），从而影响业务的连续性和客户满意度。

关于ASPM的定义

应用程序安全态势管理（ASPM）这一概念是由Gartner在2023年提出的，是一个较新的概念，也是未来应用安全发展的一个趋势。ASPM的出现是为了应对现有的应用安全方法（如应用安全编排与关联（ASOC））在扩展性和应对不断演变的威胁方面的局限性。

Gartner对于ASPM的定义：

Application security posture management (ASPM) tools continuously manage application risk through collection, analysis and prioritization of security issues from across the software life cycle. They ingest data from multiple sources, maintain an inventory of all software within an organization, correlate and analyze findings for easier interpretation, triage and remediation. They enable the enforcement of security policies and facilitate the remediation of security issues while offering a comprehensive view of risk across applications.

作者这里也做了相关总结，可能会容易理解一些：
应用程序安全态势管理(ASPM)是一种工具集和方法，用于在整个软件开发生命周期(从开发到部署)内增强应用程序安全的可见性和管理。ASPM 通过自动化和集成，从多个来源收集和分析安全数据，对安全问题进行优先级排序，简化修复过程。它持续监控应用程序风险，支持执行安全策略，确保应用程序在整个 CI/CD 管道中的安全性和合规性。

为什么需要ASPM：B端客户核心需求

统一的安全管理
核心需求：企业通常使用多种安全工具（如 SCA、SAST、DAST 等）来检测应用程序中的漏洞，但这些工具往往彼此独立，缺乏统一管理。B端客户需要一个平台来整合所有安全工具的输出，提供一致的安全态势视图，以便更高效地管理安全风险。
解决方案：ASPM 通过整合多个安全工具的数据，提供统一的风险视图和管理接口，使得安全团队能够更清晰地理解整体安全态势，从而减少管理的复杂性。

自动化与持续监控
核心需求：手动管理安全检测和漏洞修复不仅耗时，还容易出现人为错误。B端客户希望通过自动化和持续监控，及时发现和修复漏洞，减少安全威胁的暴露时间。
解决方案：ASPM 提供自动化的漏洞检测、优先级排序和修复建议，同时支持持续监控应用程序的安全态势，确保实时识别和应对新出现的威胁。

风险优先级排序
核心需求：在大量的漏洞中，B端客户需要有效的工具来帮助他们识别和优先处理对业务最具威胁的安全问题。这有助于优化资源分配，确保最关键的问题得到及时解决。
解决方案：ASPM 能够根据漏洞的严重性、业务影响等因素自动进行风险优先级排序，帮助企业专注于最关键的安全问题，最大化安全投入的效果。

合规性管理
核心需求：许多 B端客户受到行业法规和合规要求的约束，他们需要确保其应用程序在开发和运行过程中符合这些标准。
解决方案：ASPM 工具能够自动跟踪和报告应用程序的安全合规性状态，帮助企业确保其开发流程和应用程序符合相关法规要求，减少合规风险。

跨团队协作与可见性
核心需求：B端企业通常有多个团队参与应用程序开发、运维和安全管理，缺乏协作和可见性可能导致安全问题被忽视或延误处理。
ASPM 解决方案：ASPM 提供了一个集中管理的界面，使得不同团队能够共享和协作管理安全问题，确保各团队之间的信息流畅，并提高整体安全应对效率。

数据驱动的决策支持
核心需求：企业需要从大量的安全数据中提取有用的信息，以支持战略决策和资源分配。
解决方案：ASPM 提供详细的报告和分析功能，使得企业能够基于数据做出更明智的决策，提高安全管理的效果。

ASPM产品关键策略

可见性与持续评估：提供对软件供应链内组件和依赖关系的详细洞察。可以通过持续监控这些元素来快速识别和解决漏洞、错误配置和合规性问题。这种实时可见性对于保持安全的软件开发环境至关重要，包括在整个应用程序开发和部署阶段进行持续的安全评估
风险管理与优先顺序(重点关注1%的关键风险)：可评估与软件供应链安全组件相关的风险并确定其优先级。帮助安全团队专注于最关键的威胁，优化资源分配并增强整体安全态势。
代码合规：通过将合规检查和安全策略直接集成到CI/CD流水线中，实现合规检查和安全策略的自动化执行，确保每个版本都符合监管和安全标准
DevSecOps集成：无缝集成到 DevOps 和 DevSecOps 管道中，促进持续的安全评估和自动化修复流程。这确保了安全检查成为开发工作流程的一个组成部分，最大限度地减少干扰，从而加速安全软件的交付。

理想状态下的ASPM

一体化(All in one)应用程序安全扫描工具，提供扫描和修复应用程序漏洞所需的一切，并且能够跨平台SDLC管道的安全扫描、获取结果并构建修复工作流程

• 八合一扫描覆盖范围(SDLC、SCA、SAST、IaC、Container Scanning、Secret
  Scanning、DAST、CSPM)
  完整的功能流程(可达性、自动修复、基础景象检测、预提交挂钩)
• 完整的工作流程构建，提供完全的灵活性以及易于应用的强大预定义工作流程
• 与其他工具进行集成，并在第三方扫描数据之上提供独特的价值
• 修复为导向：准确告诉团队要修改哪些代码行、如何修复这些代码、以及应用更改后将修复的漏洞数量

ASPM与CSPM的区别

CSPM(云安全态势管理)专注于云环境的安全管理，旨在帮助企业识别和修复云基础设施中的安全配置问题，确保云环境的合规性和整体安全性。CSPM 通常涵盖 IaaS（基础设施即服务）、PaaS（平台即服务）和 SaaS（软件即服务）环境，重点关注云资源的配置管理、权限控制、网络安全等方面。其核心功能包括自动化检测和修复配置错误、合规性审计、实时监控、访问控制以及日志管理，全面保障云基础设施的安全性。
ASPM 主要用于管理和保护应用程序及其运行环境的安全。这些应用程序可以运行在本地服务器上、虚拟机中，或基于容器和微服务架构。ASPM 工具通常与 DevSecOps 管道集成，覆盖从代码编写到生产环境的整个应用生命周期。

国内外产品

国外产品
Aikido Security、APPCHECK、SonarQube、Apiiro、ArmorCode、Cycode、OX Security、Phoenix Security、Bionic、Boman.ai、Dazz、Kodem Security、Kondukto、Legit Security、Oxeye、Snyk Apprisk、Strobes
每家产品都有自己的定位：Oxeye 和Apiiro擅长运行时上下文，Arnica 擅长工作流程和用户上下文，Cycode 擅长流水线pipeline， Legit Security擅长 SDLC 覆盖。
国内产品
基调听云、比瓴科技(好像只有这两家🤔️)
具体调研放在下一篇文章中……

参考

https://www.gartner.com/reviews/market/application-security-posture-management-aspm-tools
https://www.synopsys.com/glossary/what-is-application-security-posture-management.html
https://xygeni.io/blog/how-can-application-security-posture-management-aspm-enhance-software-supply-chain-security/