如今，軟件主宰著世界，但仍然是一個巨大的、可訪問的攻擊面。2022年，估計有60億美元投資于應用安全，預計到2023年，這一數字將達到75億美元。在應用安全內部，軟件供應鏈安全兩年前就開始受到關注，這是應用安全增長最快的攻擊類別，經常發生重大漏洞和利用事件。

在此背景下，在不久的將來，應用程序安全性將出現一些相關的大趨勢。首先，在預生產開發環境中，開發管道越來越復雜，并且依賴于第三方。其次，應用程序安全和云安全之間的協同作用日益增強。這兩個趨勢定義了未來的安全挑戰和我們對現代應用程序安全的預測。

1.云安全與應用安全將開始融合

在云中運行的應用程序的安全狀態主要由云配置和應用程序代碼決定。多年來，云安全和應用程序安全作為獨立的安全問題運行。然而，把它們放在一起看的好處正變得越來越明顯:

（1）統一態勢:應用程序風險是云和應用程序安全態勢的結合。例如，應用程序代碼漏洞和承載應用程序的云服務的錯誤配置都是確定攻擊面的基礎。它們是不可分割的，應該一起分析和優先排序。

（2）場景:漏洞修復的優先級由云和應用程序場景驅動。例如，由面向互聯網的服務暴露的代碼中的漏洞可能比內部服務中不可訪問的代碼漏洞更需要修復。當您同時擁有應用程序和云場景時，有許多機會了解哪些漏洞對業務最關鍵。

（3）補救:有機會將在運行時發現的漏洞追溯到預生產開發環境中的代碼更改和所有者。將整個鏈鏈接在一起——從代碼到云——有助于快速確定問題的根本原因，更有效地修復它，在某些情況下還可以自動修復。

將云安全與應用程序安全結合在一起是安全觀念的轉變。安全解決方案將繼續融合，這將為組織提供機會，將應用安全和云安全工程師的職責合并，并提高效率和有效性。

2.開源軟件更加安全

如果沒有數百個(或更多)第三方組件，幾乎不可能發布軟件。然而，開源生態系統不斷受到攻擊，人們試圖通過隱藏的代碼插入、排字搶注和其他一些技術來操縱開源庫和組件。

為了跟上這些持續不斷的網絡犯罪創新，新的舉措正在進行中，將額外的安全控制引入開源生態系統。我們期望看到:

軟件開發公司對開源驗證的需求增加，包括信譽檢查、真實性檢查和持續的漏洞掃描。

開源存儲庫(例如NPM)將對上傳的軟件提出更高的安全標準，以加強組織的檢查控制，從代碼簽名開始。

更多第三方將包括軟件材料清單(SBOM)，可以在使用前進行驗證。

軟件安全度量的可用性不斷增加，以及用于在SDLC中和部署之前驗證軟件使用的更通用的工具集將變得更加普遍。

3.代碼工廠攻擊面將繼續擴大

針對開發人員、代碼或構建系統的攻擊大幅增加(根據一些來源，每年增長460-660%)，增長是巨大的。最近的事件包括OKTA的源代碼被盜，豐田的漏洞始于一個承包服務通過源代碼暴露敏感機密，大規模的LastPass漏洞始于一個受侵害的開發人員，等等。

由于我們構建軟件的現代方法:分布式工作人員、多個系統和插件、使用許多訪問密鑰、令牌、機器帳戶和自動化，SDLC作為一個攻擊面繼續增長。這些都不會很快改變，只是變得更加復雜、異構和分布式。

在LegitSecurity，當我們運行價值證明(PoV)項目時，我們會在潛在客戶環境中直接發現巨大的多樣性和漏洞范圍。我們發現和緩解的大多數安全問題都是由于誠實的錯誤或安全知識的差距造成的。例如，我們不斷發現流氓構建服務器和工件存儲，要么是遺留的，要么是由快速移動的開發團隊快速生成的，它們是完全開放的，并且包含敏感的源代碼和密碼。

現在的預生產開發攻擊面太廣、太脆弱、目標太豐富。不幸的是，預測2023年將發生更多涉及軟件供應鏈漏洞的事件——從惡意篡改到代碼盜竊，再到開發系統的敏感數據泄露等等。

4.安全軟件遵從性和SBOM

在SolarWinds受到攻擊后，美國政府已經開始要求供應商包括一份簽署的SBOM，并為安全軟件開發框架(SSDF)進行審計。2023年，我們預計將看到:

當軟件交付時，對應用安全的需求增長，而不僅僅是針對美國政府消費者。越來越多的買家將要求他們的軟件供應商提供SBOM，越來越多的供應商將提供SBOM供下載。

企業將尋求在其管道中實現代碼簽名和認證生成，以滿足SSDF的完整性要求。

B2B安全評估將需要更多安全開發實踐的證據，并要求安全護欄、控制和自動漏洞掃描的證據。

5.通過安全問題場景實現更智能的優先級

有一個悖論——使用現代開發堆棧的安全和開發團隊遭受“漏洞疲勞”。安全問題的數量是無法忍受的，它們產生的噪音分散了團隊的注意力，減慢了他們試圖分類和/或修復所有問題的速度。例如，當一個普通的容器映像立即產生數百個漏洞時——實際上，您應該怎么做?

通常情況下，安全團隊面臨著一個不可能的選擇。漏洞掃描器的可用性和功能以及社區中的安全知識是巨大的(這是一件令人驚訝的事情)——但人們一致認為優先級是一場噩夢。“CVSS已死”這個詞最近被廣泛引用。

團隊正在尋找更聰明的方法來確定優先級。對更智能的安全態勢管理的需求不斷增長——這可以通過依賴于應用程序場景的更全面的風險方法來實現。因此，我們看到了“代碼到云”安全方法解決這個問題的一個強有力的例子——能夠理解應用程序的準確解剖結構，并將代碼風險與其運行時(云)特征聯系起來。這為有意義的優先級集中提供了很好的機會。

例如，安全工程師在看到安全問題時可以問自己的第一個問題是——“這個東西是可利用的嗎?”，或者“這是外露的嗎?”，甚至“這段代碼在哪里運行，這是處理敏感數據的業務關鍵型應用程序的一部分嗎?”將看到更多的團隊和更多的安全解決方案改變他們看待漏洞的方式，以及團隊如何選擇專注于問題并降低其他問題的優先級。

6.文化變更:應用程序發布治理的執行需求

應用程序發布時仍然存在漏洞，這是事實。組織開始意識到問題不在于檢測漏洞的能力，而在于實施安全有效的端到端發布流程的能力。

現代的方法需要更多的開發人員參與，包括“安全冠軍”程序，并向左移動以包括更多的自動化安全掃描。在一天結束的時候，安全和開發團隊仍然對安全的發布負責，他們現在面臨著更廣泛的挑戰:如何構建一個安全的應用程序開發管道。

這樣做的壓力已經開始從上到下。c級對演示保證每個軟件部署安全的有效發布過程的需求正在增加。我們稱這種需求為“釋放治理”。

安全團隊將尋找方法:

1.定義一個考慮到應用程序場景的整體發布策略。

2.在管道中構建一個補救工作流。

3.對安全的生產前開發環境的覆蓋范圍和有效性具有實時可見性，具有跟蹤所有權、提供風險報告和調優的能力。

我們預測，隨著時間的推移，這種更全面的應用程序安全范式將占據主導地位。安全團隊將推動更多的自動化和開發協作，但安全的新優先事項將是獲得過程的可見性和控制，以確保安全的應用程序發布——強調跨團隊的報告和問責制。

現代應用程序的未來-從不無聊的時刻

應用程序安全是一場貓捉老鼠的游戲，充斥著快速變化、創新的攻擊和利用，以及不斷發展的安全解決方案。一些更大的趨勢正在發生，將永久性地改變這一動態格局。

應用安全與云安全將更加緊密。第三方軟件的安全性將升級，包括對消費者的信任機制。安全漏洞的處理方式正在發生更大的轉變——首先是利用基于代碼到云可追溯性的場景風險，其次是將重點從分類問題轉移到擁有真正的發布治理。

人們受益于一個運行在軟件上的世界，而軟件的安全性對我們所有人都至關重要。合法安全平臺在這里幫助迎來這個更安全的未來。這是為了現代應用安全的未來，以確保一個安全可靠的世界。