一、背景
RSA大会将于3月4日在美国旧金山开幕,RSA创新沙盒决赛十强产品都是网络安全领域的创新者,同时也从一定程度上代表着国际网络安全各个细分领域的火爆程度。
从今年的十强产品看,数据安全、云计算安全连续多年上榜,持续火热,业务安全和DevSecOps崭露头角,这也意味着未来1-3年的安全创新方向。
十强产品中ShiftLeft聚焦于DevSecOps,DevSecOps虽说各有各的玩法,暂未形成大家公认的标准,但是基本上都是SAST,DAST等产品,当然也包括最近火起来的IAST和RASP,接下来一起看看ShiftLeft,聊聊DevSecOps。
二、ShiftLeft为何能进决赛
ShiftLeft有三款产品Inspect、Protect、Ocular。
ShiftLeft的主打产品无疑是ShiftLeftinspect,一款漏洞检测产品,inspect将SAST和IAST融合到一个产品里,跟DevOps工具链进行集成,作为上线前的漏洞检测方案。
2.1SAST部分
传统的SAST类产品作为编码阶段的安全工具,其实很多国外知名的白盒厂商都为它们的产品配备了集成Jenkins和Gitlab的手段,但是在DevSecOps中一般难以有特别好的效果,主要受限于SAST类产品的误报率和检测时长。DevOps中很重要的一点就是“天下武功,唯快不破”,强调一体化,自动化与速度,Jenkins、Gitlab等DevOps工具链的集成从一定程度上解决了一体化和自动化的问题,但是问题终回归到SAST类产品的核心竞争力:检出率、误报率、检测速度上,这些决定了安全活动的周期,也决定DevSecOps能否很好的执行和落地。
我们先看看OWASP对SAST和DAST类产品在OWASPBenchmark的测试结果:
SAST类产品可以做到检出率高达85%,但同时误报率也有52%,误报也就意味着需要介入人工核查,而且众所周知,代码审计工作所需要的周期偏长,特别是从数百数千个漏洞中,找出误报,意味着每个漏洞都要审查,会极大的拖慢DevOps周期。那如果说开发同学不管是否误报全部修复,这样是否可行呢?这就牵扯到开发人员与安全人员配合的问题,本身可能大部分开发人员对安全工作存在少部分的抵触心理,认为是工作量的增加,如果修复方案简单还好说,如果某个漏洞的修复比较复杂,又被发现是误报,可能开发与安全的信任关系断裂,不利于后续安全工作的开展。
那ShiftLeft是如何解决上述难题的呢?答案是:强行解决!
先看ShiftLeft自己发布的ShiftLeftinspect在OWASPBenchmark的测试结果:
检出率%,误报率25%,最终得分75,几乎是第二名的两倍。(当然,结果是ShiftLeft自己发布的,也可能针对OWASPBenchmark做过特殊优化),这个得分可以很大程度上可以解决SAST在DevSecOps中难以应用的问题。
再谈到速度,用过白盒产品的同学应该都知道,传统SAST类产品检测速度偏慢,收到过客户的真实反馈,w行代码足足检测了10个小时,这个时间在DevOps中是难以忍受的。ShiftLeftinspect根据