随着软件敏捷开发理念的日益流行,企业的开发团队正以小步快跑、快速迭代的姿态为企业不断创造出更大的价值,但产品安全问题也与之相伴而来,产品安全存在的巨大安全隐患已经成为企业当下面临的最重要安全问题之一,产品安全也已经成为了开发的必需组成部分。
据美国国家标准与技术研究所(NIST)的统计,在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的30倍。因此,更早介入安全工具发现产品的安全漏洞,对产品开发流程进行安全管控,成为降低产品安全风险的重要手段。
以自动化安全测试解决产品安全测试难题
为了帮助企业实现安全左移的目的,让产品得以在上线前发现可能的安全风险,当前国内开发安全厂商的主流思路是向产品设计、开发、构建、测试以及部署运维等全生命周期的各个阶段提供SCA、SAST、DAST、IAST、FUZZ等软件安全测试工具。
但在产品的具体应用过程中,由于部分中小企业安全团队薄弱,而开发人员和测试人员在安全知识方面也通常有所欠缺,常常会出现采购产品后安全团队用不好,检测到安全漏洞后修复难,修复后难以确认是否已形成安全闭环等问题。
针对这一现状,业内的安全厂商也提出了各自不同的应对之策,比如通过提供服务的方式来帮助用户解决上述问题,也有厂商通过自动化工具来化解,比如今天我们要谈到的一个由极光无限推出的更具普适性的自动化软件安全测试解决方案。
Gartner在一份对软件安全测试趋势的预测报告中指出,到2025年,将有30%的组织使用自动化解决方案提供的代码修复意见修复SAST识别的代码级别的安全漏洞,以提升代码脆弱性的修复速度,并减少50%的bug修复时间,而当前只有不到1%的组织使用自动化解决方案。
因此不难看出,自动化安全测试平台已是软件安全测试领域的必然发展趋势,而维阵这款产品正是对当前普及率较低的自动化安全测试细分市场的极大补充。
基于图神经网络的AI自动化漏洞挖掘系统
维阵是由极光无限研发的一款基于图神经网络技术对应用和软件进行安全脆弱性检测的SaaS平台化服务产品,提供对应用和软件分析发现0day的在线服务。
极光无限的漏洞团队负责人仙果此前在安全419的采访中告诉我们,维阵主要通过对二进制文件做汇编层面的反编译工作,提取二进制文件汇编执行流、函数执行流的特征,把这些特征统一归类,然后通过机器学习并用图神经网络对漏洞特征进行模糊匹配,进而得出同某真正漏洞之间的一个置信度(类似于相似度),如置信度越高,那么存在漏洞的可能性就越高,并以此作为高效、准确发现漏洞的依据。
耗时更短、效率更高、对用户更友好
据仙果介绍,维阵产品分别提供企业用户版和个人版,在帮助企业提高生产效率、降低安全风险成本的同时,让普通软件开发者也能够在线即是检测安全问题,快速发现软件中潜伏的二进制安全缺陷,提高产品安全性。
据了解,AST工具更强调于对介入源码检测和安全路径发现,以及源码在编译阶段过程中是否存在安全隐患,而极光无限打造的维阵产品则并不以源代码为检测任务的必须前提。
此外,相比较业内其他AST类工具而言,以自动化安全测试技术为核心的维阵产品能够有效节约跨部门沟通的时间,能够在少量人员参与的情况下,更高时效的发现安全问题,保证安全与效率齐头并进。
值得一提的是,AST类工具对安全团队本身技术水平本身要求较高,存在较高的技术门槛。而维阵产品中用户仅需简单操作,便可在线选择文件类型上传文件后开始检测,等待文件检测分析结果。在这一点上显然对用户更加友好,普适性更高。
在能力方面,维阵产品的漏洞特征库由极光无限位于苏州和莫斯科两地的专家团队不断完善和丰富,尤其是莫斯科方面的数据专家在AI领域的技术能力有效提升了维阵产品的AI计算能力,使得漏洞检出率处于业内领先水平。
仙果表示,“用户层面可以不需要去关心是否具备安全团队,无论是在漏洞发现还是在漏洞修复方面,借助维阵的安全能力都可以自动化的解决很大一部分安全问题。这样一来,企业只需对产品研发人员做一套基础的安全开发规范,就可以快速的提高针对产品和软件的安全性。”