จัดลำดับความสำคัญของการแก้ไขด้วย HCL AppScan และ Auto Correlation
ข่าวาร

โดยBiew Apaporn - 28/09/2022

แชร์หน้านี้

เว็บแอปพลิเคชันต้องเผชิญกับภัยคุกคามด้านความปลอดภัยที่เพิ่มขึ้นทุกวัน โชคดีที่แพลตฟอร์มทดสอบความปลอดภัยของแอปพลิเคชัน เช่น HCL AppScan มีการพัฒนาอย่างต่อเนื่องเพื่อรับรู้ช่องโหว่ใหม่ๆ แต่ด้วยทีม DevOps ที่ปล่อยโค้ดในอัตราที่เร็วขึ้นและเร็วขึ้น เวลาที่ใช้ในการแก้ไขปัญหาอาจกลายเป็นจุดเจ็บปวดที่สำคัญได้ การจัดลำดับความสำคัญของปัญหาที่ต้องแก้ไขนั้นมีความสำคัญมากขึ้นเรื่อยๆ เมื่อเผชิญกับผลการทดสอบที่ล้นหลามในบางครั้ง

HCL AppScan ทำให้กระบวนการนั้นง่ายขึ้นและมีประสิทธิภาพมากขึ้นโดยใช้ อัลกอริธึม Auto Issue Correlation ใช้ประโยชน์จาก โซลูชัน IAST (การทดสอบความปลอดภัยแอปพลิเคชันเชิงโต้ตอบ) ที่มีอยู่ใน ข้อเสนอ AppScan Enterpriseและ AppScan on Cloud โซลูชันการรักษาความปลอดภัยเหล่านี้ยังรวมถึงเครื่องมือ DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing) และ Auto Issue Correlation ทำให้ใช้งานได้ทั้งหมด

เครื่องมือทดสอบแต่ละเครื่องมีจุดแข็งและจุดอ่อน ต่างกัน แต่ Automatic Issue Correlation จะดึงจุดแข็งเมื่อดูข้อมูลทั้งหมดร่วมกัน ตัวอย่างเช่น ในขณะที่ DAST ส่งมอบผลลัพธ์ที่แม่นยำมาก ไม่สามารถดูโค้ดและให้ระดับรายละเอียดที่คุณได้รับจากการสแกน SAST และ IAST แต่ด้วยความสัมพันธ์กัน คุณสามารถใช้การสแกน SAST และ IAST เพื่อยืนยันและเพิ่มคุณค่าการค้นพบผลลัพธ์ DAST ของคุณ

ในทำนองเดียวกัน SAST สามารถสร้างการค้นพบจำนวนมาก ทำให้ยากต่อการรู้ว่าสิ่งใดควรจัดลำดับความสำคัญสำหรับการแก้ไข แต่ความถูกต้องแม่นยำของการสแกน IAST และ DAST เมื่อวางซ้อนบนผลลัพธ์ของ SAST จะสร้างปัญหาย่อยๆ ที่สำคัญอย่างชัดเจน ซึ่งตอนนี้ง่ายต่อการแก้ไขทั้งหมดในคราวเดียว

นอกจากนี้ การแก้ไข SAST ไม่สามารถตรวจสอบได้เนื่องจากนักพัฒนา “อยู่ในกรอบ” และมองเฉพาะโค้ดที่แตกต่างจาก DAST และ IAST หากปัญหาสามารถยืนยันได้ว่าได้รับการแก้ไขแล้วโดยสัมพันธ์กับกลไกเพิ่มเติมเหล่านี้ในรูปแบบของการอัปเดตสถานะ ผู้ใช้จะได้รับการตรวจสอบการแก้ไขเพิ่มเติมจากความครอบคลุมทั้งหมดและเวลาในการสแกนสั้นๆ ที่มีอยู่ใน SAST

ตัวอย่างแดชบอร์ด AppScan ที่แสดงการสแกน ปัญหาที่พบ และความสัมพันธ์

ความสัมพันธ์ของปัญหาอัตโนมัติจะดึงข้อมูลจากปัญหา IAST, DAST และ SAST แต่ละรายการ จากนั้นใช้ฮิวริสติกที่หลากหลายเพื่อระบุความสัมพันธ์ วิธีนี้ช่วยลดจำนวนช่องโหว่และงานแก้ไขโดยรวมได้อย่างมีประสิทธิภาพด้วยการจัดกลุ่มปัญหาต่างๆ เข้าด้วยกัน ซึ่งสามารถแก้ไขได้อย่างรวดเร็วและสมบูรณ์ หากเครื่องมือทดสอบทั้งสามเครื่องพบปัญหาที่เกี่ยวข้องกัน—IAST, DAST และ SAST—จะย้ายไปที่ด้านบนสุดของรายการเพื่อทำการแก้ไข ลำดับถัดไปคือปัญหาที่สัมพันธ์กันจาก IAST และ DAST หรือ IAST และ SAST หลังจากนั้นลำดับความสำคัญจะย้ายไปที่ปัญหาที่พบโดย IAST หรือ DAST และเมื่อทำการแก้ไขทั้งหมดแล้ว นักพัฒนาสามารถไปยังปัญหาที่เหลืออยู่ที่ SAST ค้นพบได้เท่านั้น

หากสนใจติดต่อมาที่เรา KTNBS

Biew Apaporn

เป็นผู้พัฒนาและออกแบบแอพพิลเคชั่นด้วย IBM Domino Designer, Xpage, Javascript, Lotus Script, Bootstrap, CSS, HTML

bigfix_workspace_9notes.jpg
expand_less