由COVID-19 大流行引起的大規模轉向遠端工作，提高了許多組織對彈性應用安全實踐的需求。

除了應對這些天應用程式發布的大量和頻率之外，應用程式安全團隊現在還必須應對與遠端工作和簽入來自全球各地的程式碼相關的挑戰。

隨著應用程式每週、每天甚至每小時發佈到生產環境中，DevSecOps 中的「秒」確實從未像現在這樣相關或重要。是時候確保您的應用程式安全方法具有網路彈性了。這裡有五個需要關注的領域。

1.自動化

自動化對於網路彈性至關重要。您需要利用工具，以使應用程式安全解決方案盡可能無接觸和流程驅動。理想情況下，任何可以自動化的東西都應該是自動化的，而彈性系統將允許這樣做。事實上，一個有彈性的系統不僅會允許它，而且還會推動自動化。

想像一下未來的環境，如果您需要突然掃描1,000 個應用程序，您可以自動增加處理該容量所需的掃描器數量。如果容量發生變化並且您不再需要那麼多掃描儀，那麼您的系統就足夠智能，可以解決這個問題並自動降低數量。

在一個真正有彈性的系統中，自動化將允許開發人員編寫和提交程式碼，並且掃描就會發生。你不應該做任何事。系統會自動刪除您無法修復的內容、在您的環境中不重要的內容、或您的KPI 和類似性質的內容。這幾乎就像您踩下汽車的油門踏板一樣。有很多事情要做，但你不需要知道引擎除了它所做的任何事情。這是相當強大的。

最終，目標應該是擁有像拼字檢查器一樣自我修復的程式碼。我們還沒到那一步，但有一天會有足夠的智慧讓你相信系統可以自行修復問題。

2. 有可操作的結果

您的應用程式安全計畫應專注於推動測試結果的可操作性。它應該以您今天需要關注的事情為中心。從歷史上看，當您真正需要的只是與組織和您相關的問題清單時，應用程式安全解決方案傾向於為您提供要解決的問題的清單。

一個有彈性的系統將專注於你今天需要解決的10 件事，而不是你可能需要隨著時間的推移解決的1000 件事。它使用智慧來識別可能影響或阻止您投入生產的問題。

可操作性是自動化的一部分。這意味著開發人員可以編寫一些程式碼，而在幕後對程式碼進行評估並儘快顯示相關且需要修復的內容。這就像從一匹馬和一輛馬車變成一輛特斯拉。

3.支援更頻繁的掃描

您將程式碼安全地發佈到生產環境中的能力以及遙測的速度在很大程度上取決於您能夠掃描應用程式的頻率。您需要應用程式安全性的彈性，因為您擁有更多應用程式並且您正在更頻繁地掃描它們。這給應用程式安全團隊、開發人員和CISO 帶來了很大壓力。

彈性系統支援可擴展的掃描容量，從1 次掃描到1+n 次。雖然可擴展性與掃描器數量和您擁有的應用程式數量有關，但彈性系統中的頻率與您掃描這些應用程式的頻率有關。

例如，如果您使用GitHub 並且您每天掃描或提交20 次，則您需要有一個足夠有彈性的系統來處理該頻率。這是關於具有突發功能，可以在達到閾值時打開更多掃描，而無需打電話給某人或去尋找其他產品。比如說，你只要在Docker 中啟動另一個容器，就完成了。

4. 覆蓋範圍廣

現代Web 應用程式非常受Web 服務驅動，您擁有的Web 服務和API 越多，應用程式的風險就越大。彈性是指擁有應用安全解決方案，它不僅可以解決您現在正在做的事情，而且還具有應對未來挑戰的靈活性和可擴展性。

您的解決方案需要與雲端無關，並具有涵蓋本地和SaaS 環境的靈活性。它應該能夠快速支援新的語言和框架。覆蓋範圍廣度意味著支援企業現在和未來需要掃描的各種語言。大多數企業不僅擁有.NET 或Java，它們還擁有數十種語言。

如果您從.NET 商店開始，並且擁有.NET 的靜態分析功能，那麼如果有新團隊加入或收購另一家公司，您是否有能力支援Java？還是您需要出去購買一套全新的產品？一個有彈性的應用程式安全系統將能夠掃描這些新應用程序，您可以簡單地決定要利用哪種模型，從SaaS 或內部部署到混合。

5. 確保它是可擴展的

在彈性系統中，您無需添加基礎架構即可獲得更多掃描功能。您的系統將與雲端無關，並且能夠按需啟動掃描伺服器，並在您不需要它們時同樣輕鬆地關閉它們。只需幾分鐘，您就可以從需要額外容量來掃描更多應用程式轉變為僅開啟額外容量。

許可靈活性對於可擴展性至關重要。它需要足夠靈活，這樣您就不必在每次需要額外容量進行靜態或動態測試時購買另一個許可證。您的許可證應該允許您根據需求和掃描容量來回移動。

為什麼網路彈性是關鍵

Verizon 年度資料外洩調查報告的最新版本顯示，Web 應用程式漏洞是網路犯罪分子的首要目標。Verizon 在2019 年調查的資料外洩事件中，約有40% 實際上涉及應用程式漏洞。

很明顯：強大的應用程式安全計畫對企業網路彈性至關重要。按照上面的指示來改變你的方法。

保持學習

• 未來是安全即程式碼。透過TechBeacon 指南了解DevSecOps 如何幫助您實現目標。另外：請參閱SANS DevSecOps 調查報告，以了解對從業者的重要見解。
• 使用TechBeacon 指南快速了解應用程式安全測試的狀態。另外：取得Gartner 的2021 年AST 魔力像限。
• 透過TechBeacon 的2021 年應用程式安全工具指南了解應用安全工具領域。
• 下載免費的Forrester Wave 靜態應用程式安全測試。另外：在此網路研討會中了解SAST-DAST 組合如何提高您的安全性。
• 了解API 安全需要存取管理的五個原因。
• 了解如何為未來十年制定應用安全策略，並在應用程式安全開發人員的生活中度過一天。
• 使用TechBeacon 指南建立現代應用安全基礎。