跳至主要內容

什麼是應用程式安全性?

建立 AWS 帳戶

頁面主題

什麼是應用程式安全性?

應用程式安全性 (AppSec) 是指設計、建置,以及測試您所開發應用程式的安全屬性的程序。AppSec 包括實務、工具與技術,能夠助力組織降低安全性風險、防止發生安全事件,以及從安全事件中快速復原。採用應用程式安全性測試,可協助防止、確認並修復包括部署後期在內的整個軟體開發生命週期 (SDLC) 的安全問題。

應用程式安全性為何非常重要?

應用程式安全性是軟體開發程序的關鍵環節,旨在確保應用程式能如預期運作。無論應用程式僅供內部使用,還是做為客戶產品來開發,應用程式安全性都至關重要。

遵循領先的應用程式安全性實務具備下列優勢。

增強使用者信任

應用程式內發生安全事件,可能會影響使用者對企業的信任,還會對品牌聲譽造成影響。關注應用程式安全性有助於防範這種情況的發生,還可提升使用者忠誠度。

支援法律合規

組織要開發符合合規框架的軟體應用程式,必須竭力確保這些產品始終保持合規。舉例來說,若應用程式符合一般資料保護規範 (GDPR) 的要求,那麼所有新功能也必須符合 GDPR 的要求。

保障業務維運

組織內部的活躍威脅會導致營運停滯。確保軟體應用程式不會引起安全事件,將有助於確保業務營運儘可能順利進行。

保障敏感資料

個人識別資訊 (PII) 與私有業務資訊等敏感資料可透過應用程式傳輸。藉由設定應用程式安全性優先級,您可實作安全實務,進而有助於組織未經授權的存取,以及防範資料外洩。

什麼是 DevSecOps 中的應用程式安全性?

應用程式安全性是更廣泛的 DevSecOps 計畫的核心元件。

DevSecOps 在三個基礎支柱上建置:人員、程序與技術。DevSecOps 以 DevOps 為基礎,且包括專用工具與程序,可促進開發人員 (Dev)、安全專業人員 (Sec) 與維運團隊 (Ops) 間的協作,從而建置既高效又安全的軟體。DevSecOps 帶來了文化轉型,使安全成為建置軟體的每個人的共同責任。

憑藉這三個支柱,透過自動化與持續的安全測試來協同運作,以便建立強大、安全且不斷演變的開發計畫。

人員:安全優先的文化與協作

在 DevSecOps 中,組織必須培養安全優先的文化,保障安全人人有責,而不只是安全團隊的責任。開發人員負責他們所建置的應用程式的安全性,維運團隊負責執行中工作負載與基礎結構的安全性,而安全團隊則負責組織的安全性。憑藉這種協作式方法,確保營運、安全與開發團隊,乃至整個組織都有明確的安全責任歸屬。

安全文化

在各個職務、部門與計畫中嵌入安全文化與思維模式,這是應用程式安全性不可或缺的組成部分。廣泛的安全文化透過安全倡導者計畫、協作式安全設計審查、事件後審查,以及持續做出改善的學習程序來增強可視性。

頻繁的、基於職位的安全培訓

針對參與軟體開發生命週期的個人與團隊,必須提供相關培訓,包括開發人員、安全人員及維運團隊。AppSec 安全培訓可包括安全編碼實務、威脅建模、漏洞管理,以及透過提交程式碼或安全調查結果觸發的學習。

在軟體開發生命週期早期階段引入安全性

必須早在構思階段就在應用程式設計中融入安全性。這包括威脅建模與設計審查,以便協助產品團隊定義安全性要求,以及在使用者案例與認可標準中納入這些安全性要求。

程序:自動執行安全整合

為協助保護應用程式與敏感資料,建立應用程式安全性程序必不可少。藉助明確且透明的安全性指引,開發人員能夠規避程式碼中的安全問題,以及實作職能性應用程式安全性控制項。

政策即程式碼框架

在整個開發生命週期,應當在整個組織定義及自動強制執行安全性要求。這包括基礎結構即程式碼 (IaC) 範本,營運團隊可用於定義安全組態。藉助這些範本,可確保應用程式在驗證安全性之後再部署。

自動執行安全檢查

自動執行安全測試,可在持續整合與持續部署 (CI/CD) 管道的各個階段融入安全檢查。可能包括以下各項:

  • 品質關卡:軟體產品在特定階段必須滿足的品質水準。舉例來說,在應用程式進入生產之前,所有程式庫都必須保持最新狀態,以便確保沒有易受攻擊及過時的元件。
  • 錯誤閾值:應用程式內部安全問題的閾值。舉例來說,軟體在發布之前不得存在任何等級為「高」或以上的安全漏洞,以便消除可能存在的安全威脅風險。
  • 品質檢查:測試與掃描,以便檢查品質關卡與錯誤閾值。
  • 持續性合規掃描:掃描程式可自動對照系統與組織控制 2 (SOC 2)、支付卡產業資料安全標準 (PCI DSS) 與 GDPR 等標準進行檢查。

即時的安全監控和回應

在 DevSecOps 程序中,能夠建立及建置自動執行的事件回應工作流程、自我修復功能,以及持續性安全狀況評估。在這些工作流程內,您可依據低風險及低複雜度調查結果來新增自動補救措施。針對其他調查結果,可將自動化標記傳送至開發人員或工單系統。

智慧風險管理

應用程式安全風險管理透過自動執行風險評分,來設定安全調查結果的優先級。依據每個漏洞的業務影響及漏洞利用情況,來對此風險評分做出評估。此程序著重於需要開發人員關注的重大漏洞。

自適應安全防護與緩解措施

對於擁有成熟 DevSecOps 計畫的組織而言,每個應用程式的安全性都能獨立做出調整。依據應用程式關聯內容、使用者行為,依據新的威脅,專案負責人與智慧系統可動態調整安全性要求。透過此程序,在新的及現有的軟體開發專案中,新的安全性要求變得可重複且自動化。

技術:實現雲端原生安全自動化

現代化應用程式藉助傳統技術與雲端原生技術,以及 AI 驅動的自動化帶來增強的安全性。

自動執行安全測試

應在各專案中部署標準軟體安全測試。自動化測試包括以下內容:

靜態應用程式安全測試 (SAST)

靜態應用程式安全測試可掃描程式碼庫是否包含已知漏洞。

動態應用程式安全測試 (DAST)

動態應用程式安全測試可掃描執行中應用程式是否包含已知漏洞。

互動式應用程式安全測試 (IAST)

互動式應用程式安全測試可依據使用者互動,來審查執行時期的程式碼輸出。

軟體結構分析 (SCA)

軟體結構分析可掃描開放原始碼相依項是否存在漏洞。

容器與基礎結構安全性

容器與基礎結構安全性考慮軟體執行所在的基礎元件的安全性。您可在此基礎結構管理中結合如下安全措施:

  • 容器安全性掃描與執行時期防護
  • 雲端安全狀態管理 (CSPM),對組態進行持續性監控
  • 自動化機密管理平台,輪詢憑證及消除硬編碼機密
  • 滲透測試與其他即時測試

零信任架構

在應用程式設計中採用零信任架構,有助於減少基於許可的軟體漏洞。零信任架構的元件包括以下各項:

  • 包含身分型存取控制項的網路微隔離
  • 採用服務間通訊加密的服務網格安全性

藉助零信任架構,可在分散式與基於雲端的應用程式中強制執行安全性政策。

採用 AI 技術的威脅偵測與分析

組織可利用機器學習 (ML) 演算法與行為分析,來進一步增強應用程式的安全性。

舉例來說,AI 和 ML 服務可協助即時偵測異常模式,包括透過異常存取指示的內部威脅或遭入侵帳戶。此外,這些服務還可透過漏洞關聯與優先排序,來協助減少提醒數量。

如何不斷整合安全性?

與 DevSecOps 類似,應用程式安全性被視為持續性程序。隨著威脅與業務需求不斷變化來調整 AppSec,可以確保應用程式安全性計畫保持有效且與時俱進。

可以採用很多方法來助力實現持續性回饋循環:

  • 即時儀表板可用於追蹤應用程式組合中的各個項目,例如,安全性 KPI、平均修補時間,以及安全債務。這些儀表板可提供自動化安全指標,以便協助設定優先級並做出改善。
  • 透過定期的安全回顧、安全日誌記錄,以及事件後審查和後續操作,來實施持續性改善循環。
  • 在 AppSec 進行的安全投資,應當依據業務風險降低與安全投資報酬率 (ROSI) 計算值來設定優先級。

在軟體程式上建立這些持續性適應防護機制,有助其隨著業務發展不斷擴展。藉由評估與演變計畫,您可不斷防止新的網路威脅。

重要的應用程式安全性實務有哪些?

開發人員可使用這些方法,來保障軟體應用程式免遭未經授權存取並規避其他風險。 

程式碼安全性

在應用程式正式發布之前,靜態程式碼與動態程式碼分析對於識別漏洞至關重要。開發團隊將自動化安全測試工具直接整合至開發工作流程中,以便掃描原始程式碼、已編譯的應用程式,以及正在執行的系統中的安全漏洞。

這些應用程式安全性工具可偵測常見的漏洞。舉例來說,在 Web 應用程式安全性方面,測試必須包括 SQL injection 隱碼攻擊、跨網站指令碼,以及不安全的組態。在行動應用程式安全性測試方面,測試中的安全考量可能包括裝置上的儲存測試。這些工具可重點關注漏洞,同時為開發人員提供切實可行的修補指引。

舉例來說,開發人員使用 Amazon Q Developer 程式碼審查項,或者 Amazon Inspector Code Security,在程式碼審查過程中自動確認安全漏洞與違反編碼最佳實務的情況,從而提供智慧建議來改善應用程式的安全狀況。

相依項管理

第三方程式庫與開放原始碼元件因已知的漏洞與受管合規問題,而帶來重大的安全性風險。組織可實作全方位的相依項掃描與管理程序,以便確保對其應用程式所用全部外部元件的可見度。

這些程序包括自動執行漏洞偵測、授權合規監控,以及安全更新機制,以便確保相依項與安全修補程式保持最新狀態。

舉例來說,開發團隊利用 Amazon Inspector Code Security 來持續評估程式碼與容器映像中的相依項是否存在漏洞,以及憑藉修復指引來自動生成詳細的調查結果。

基礎結構安全性

在現代應用程式中,雲端基礎結構設定錯誤代表了其中一個最常見的安全漏洞來源。

團隊可利用 Amazon Inspector Code Security 來實作持續性監控與自動化修補,進而確保雲端資源的組態在其整個生命週期保持安全。這包括驗證安全群組規則、加密設定、存取政策,以及與組織的安全性標準是否相符。

此外,還可依據安全最佳實務,使用 AWS Config 來持續監控與評估 AWS 資源組態,從而自動偵測偏差,以及觸發補救工作流程來確保合規。

持續整合與持續部署

使用 CI/CD 管道將現代應用程式部署至雲端。團隊可利用 AWS CodePipeline 等服務來降低應用程式部署的風險。CodePipeline 能夠整合安全性掃描服務,以便部署程序的各個階段持續執行安全性驗證。此操作包括自動執行靜態程式碼分析、相依項漏洞掃描、容器映像安全評估,以及在部署之前進行基礎結構即程式碼安全審查。

AWS CodeBuild 能夠整合各種第三方安全性工具,以便在建置與測試應用程式期間執行全方位的安全性測試。另外,藉助 AWS CloudFormation Guard 來實作政策即程式碼,能夠確保基礎結構部署自動符合安全性標準。這樣一來可組織不安全的組態進入生產,從而有助於在各個部署階段確保持續一致的安全性。

AWS 如何協助滿足您的應用程式安全性需求?

AWS Cloud Security 可為組織提供各種資源,以便增強應用程式在私有與公有網路上的安全性。您的安全團隊可在 AWS 上,利用網路與雲端應用程式安全服務來建立安全的應用程式,確認程式碼與基礎結構漏洞,評估工作負載合規性等操作。無論是在應用程式、網路,還是在主機層級運用安全最佳實務,我們都能提供可為您的安全性需求提供支援的各項服務。

  • Amazon Inspector 可讓您近乎即時地偵測 AWS 工作負載 (如 Amazon EC2、AWS Lambda 函式及 Amazon Elastic Container Registry (Amazon ECR) 中的容器映像),以及非 AWS 資源 (如程式碼儲存庫) 及持續整合和持續交付 (CI/CD) 工具中的軟體漏洞和非預期網路暴露。
  • Amazon Q Developer 可掃描程式碼是否存在難以偵測的弱點,例如洩露的憑證和日誌注入。Amazon Q Developer 還可自動建議針對應用程式程式碼量身打造的修復措施,讓您可以放心地快速接受修正。
  • AWS WAF 可助您最大限度地減少 Web 應用程式事件。藉助 AWS WAF,您可以針對 Web 應用程式防火牆建立安全規則來控制機器人流量,並阻止常見的攻擊模式,如 SQL injection 隱碼攻擊 或跨網站指令碼 (XSS)。
  • AWS Security Hub 可協助您優先處理關鍵安全問題,並協助大規模回應以保護環境。其透過關聯和擴充訊號,轉化為切實可行的洞見,從而偵測關鍵問題並簡化應對流程。

即刻建立一個免費帳戶,開始改善您的應用程式安全性。