Geleneksel statik uygulama güvenlik testi (SAST) araçları yetersiz kalıyor. Bu, bu araçları yaklaşık 3.000 açık kaynaklı kod deposuna karşı test eden yakın tarihli bir raporun temel paket servisidir. Sonuçlar: Bayraklı güvenlik açıklarının% 91’inden fazlası yanlış pozitiflerdi.
. Sast şeytanları kovmak Rapor, Go, Python ve PHP’deki kamu Github projelerini tarayan Ghost Security’den geliyor. Çalışma, gerçek dünya uygulamalarında yaygın olarak bulunan üç güvenlik açığı türüne odaklandı: SQL enjeksiyonu, komut enjeksiyonu ve keyfi dosya yüklemesi.
Araştırma ayrıca, AI ile AI ile AIT ALERT’leri kullanarak ekiplerin ne kadar zaman tasarruf edebileceğine de baktı. Ortalama olarak, manuel inceleme bulgu başına yaklaşık 10 dakika sürer. Binlerce uyarıya bakarken bu hızlı bir şekilde toplanır. Üç dil ve çerçeve kombinasyonunda, AI destekli triyaj 350 saatten fazla tasarruf etti.
Temel bulgular
- 2.116 işaretli sorunun sadece 180’i gerçek güvenlik açıkları olduğu ortaya çıktı.
- Python/Flask komut enjeksiyon kontrolleri en kötü suçlulardı: Uyarıların% 99,5’i yanlış pozitiflerdi.
- GIN çerçevesini kullanan Go projelerinde, SQL enjeksiyon uyarılarının% 80’i yanlıştı.
- PHP/Laravel biraz daha iyi ilerledi, dosya yükleme uyarılarının% 10’u gerçek olarak doğrulandı.
Yanlış pozitifler triyajı yavaşlatır, analist zamanını yakar ve ekipleri ya araçlarını agresif bir şekilde ayarlamaya veya “yüksek ciddiyet” altında derecelendirilen herhangi bir şeyi görmezden gelmeye zorlar.
Geleneksel Sast neden kısalıyor
Eski Sast motorları çoğunlukla desen eşleştirme ve kural tabanlı taramaya güvenir. Bu yaklaşımlar bağlamla mücadele ediyor. Statik bir tarayıcı riskli bir işlev çağrısı görebilir, ancak girişin gerçekten bir saldırgan tarafından kontrol edilip edilmediğini veya hafifletici kontrollerin mevcut olup olmadığını söyleyemez.
Güvenli kod yolları, test dosyaları veya dahili komut dosyaları tarafından tetiklenen binlerce uyarı bu şekilde olur. Takımlar bunalır ve incelemelere gömülürken önemli sorunlar geçer.
AI neden geleneksel araçların özlüyor
Araştırmacılar, geleneksel SAST taramalarından elde edilen bulguları doğrulamak için büyük dil modellerini kullandılar. AI boru hattı her uyarıyı üç şey için kontrol etti:
- Savunmasız kod gerçek yürütmede ulaşılabilir mi?
- Kullanıcı tarafından kontrol edilen giriş riskli davranışı yönlendiriyor mu?
- Kusurun tükenemez hale getirilmesini sağlayan hafifletmeler var mı?
Sadece üç kriteri karşılayan uyarılar gerçek pozitifler olarak işaretlendi. İnsan analistleri hala son çağrıyı yaptılar, ancak AI ağır kaldırmanın çoğunu yaptı.
Bu kurulum, inceleme süresinin önemli ölçüde kesilmesine yardımcı oldu. Python/Flask örneğinde 1.166 potansiyel sorun işaretlendi. Sadece altısı gerçekti. Bu listeyi manuel olarak incelemek 200 saate yakın alacaktı. AI onu yönetilebilir bir avuçla daralttı.
Rapor ayrıca, en ciddi uygulama güvenlik kusurlarının çoğunun öngörülebilir kalıpları takip etmediğine dikkat çekiyor. Kırık erişim kontrolü, yarış koşulları veya mantık kusurları gibi hatalar riskli bir işlev veya lekeli girdi olarak görünmez. Sistem istenmeyen bir şekilde davrandığında ortaya çıkarlar.
Rapordan bir örnek, kaynak hesabının kimlik doğrulamalı kullanıcıya ait olup olmadığını kontrol etmeyen bir para transferi işlevi gösterildi. Başka bir durumda, veritabanı bir işleme sarılmadı ve saldırganların sel talepleri ile bir hesabı aşabileceği bir yarış koşulu oluşturdu. Bunlar, yakalamak için düzenli bir Sast aracının oluşturulduğu sorunlar değil.
Bağlam-duyarlı taramaya doğru
Rapor yeni bir yaklaşım çağrısı ile sona erer: Bağlamsal Uygulama Güvenliği Testi (CAST). Fikir, bir uygulamanın nasıl çalıştığını anlayan sistemler oluşturmaktır, sadece kodunun neye benzediğini değil. Bu, kullanıcı rollerinin, yürütme yollarının, veri akışlarının ve mantığın modellenmesi anlamına gelir.
Bu tür bir bağlama duyarlı tespit hala ortaya çıkıyor, ancak endüstrinin nereye gittiğine işaret ediyor. İnsan analistlerinin veya geleneksel araçların yerini almakla ilgili değil. Gürültüyü azaltmak ve ekiplerin gerçek riske daha hızlı sıfırlanmasına yardımcı olmakla ilgilidir.
AI destekli triyaja doğru geçiş, önümüzdeki yıllarda güvenlik ekibinin rolünü yeniden şekillendirebilir.
“AppSec programları, AI tarafından güçlendirilen daha anlamlı sorunları tespit etmek ve tetiklemek için yeteneklerini olgunlaştırdıkça, araçlarından anlamlı bir değer ve yanlış sorunları çözen geliştiriciler tarafından harcanan çok daha az zaman harcayacaklar.
Bu değişimin stratejik olduğunu açıkladı. “Bu, analistlerin ‘itfaiye modundan’ kaçmalarına ve yapmaları gerekeni yapmalarına izin vermek için kapıyı açmalarına izin verecek: geliştirici ilişkileri ve araç entegrasyonlarına daha iyi güvenlik sağlamak, işletmeye özgü riskleri ödemek için stratejik girişimlerin uygulanması ve kuruluşlarındaki AppSec programlarının etkinliğini en üst düzeye çıkarmak.”
Daha ileriye baktığımızda, çıkarımlar daha da dramatik. “Bu, 5 yıl içinde mümkün olduğu söyleniyor AI, bu çalışmanın% 98’ini takımlar için otomatikleştiriyor.”
CISOS için bu, AI’nın sadece yardımcı olmadığı bir modele hazırlanmaya başlama ihtiyacının altını çiziyor. BT ve insan yetenekleri gözetim, tasarım ve uzun vadeli risk azaltmaya geçer.
AppSec’te önemli olanı ölçmek
Uygulama güvenlik performansını değerlendiren CISO’lar için, bulunan güvenlik açıklarının sayısı gibi geleneksel metrikler tam bir resim yapmayabilir. Geesman, daha anlamlı önlemlerin sadece faaliyetlere değil, sonuçlara odaklanması gerektiğini söylüyor.
Geesman, “Birçok takımın düşük verimliliği var çünkü çok fazla zaman harcıyorlar,” diye açıklıyor Geesman. “Gerçek pozitif -yanlış pozitif oranı izlemek, bulguların kalitesini ve bunlara göre hareket etme maliyetini anlamanıza yardımcı olur.”
Bir başka kritik metrik de gerçek sorunların ne kadar hızlı çözüldüğüdür. Hangi sorunların gerçekte önemli olduğunu belirlemek ve hızlı bir şekilde sabitlenmelerini sağlamakla ilgilidir.
“Düzeltme süresi, teknik ve insan süreçlerinizin ne kadar iyi çalıştığını gösteriyor. Yüksek riskli bir konuda döngüyü hızlı bir şekilde kapatabilirseniz, bu olgun bir kabiliyetin bir işaretidir” diyor.
Geesman ayrıca, kötü kodun ilk etapta canlı olmasını önleyen sistemlere bulguların ötesine ve iyileştirilmesini öneriyor.
“Güvenlik korkuluklarınızın dağıtım boru hatları boyunca kapsamını ve etkinliğini ölçmek istiyorsunuz. Bu, kodunuzun doğru korumalarla birlikte olup olmadığını ve bu korumaların işe yarayıp yaramadığını anlatıyor.”
Ve son olarak, birçok hizmeti yöneten büyük kuruluşlar için Geesman hizmet düzeyinde bir görünüm önermektedir.
“Uygulama başına güvenlik duruşunu izleyin-bir uygulamanın kodunun, bağımlılıklarının ve altyapısının sağlığını yansıtan sahne kartları. Bu, ekiplerin ve yöneticilerin risklerin gerçekte nerede olduğunu görmelerine yardımcı olur.”
Geesman, bu metriklerin, kuruluşlara APPSEC yatırımlarının sadece uyarılar üretmediği için risk azaltıp düşürmediğine dair daha net bir fikir verdiğini belirtiyor.