您的 SAST 扫描器在本迭代中标记了 847 个问题。您的 SCA 工具新增了 312 个漏洞。您的密钥扫描器在四个代码库中发现了 43 个潜在风险。在这 1,200 多个发现结果中,竟然隐藏着一个正在被恶意利用的严重漏洞。这就是应用安全警报疲劳。这不是检测问题。
大多数团队的问题不在于检测,而在于优先级排序。由于缺乏上下文信息,每个警报看起来都同样紧急,因此没有一个警报足够紧急到需要立即处理。
检测和优先处理之间的这个差距,正是真正威胁溜进来的地方。
本指南详细分析了警报疲劳发生的原因、其代价,以及在不降低安全覆盖范围的情况下减少警报疲劳的具体方法。
什么是应用安全警报疲劳(以及为什么情况越来越糟)?
应用安全警报疲劳是指安全和开发团队被海量的安全警报信息淹没,导致其有效应对能力下降的状态。当所有警报都被标记为“严重”时,任何警报都显得不紧急。真正的威胁被淹没在各种噪音之中。
问题的规模相当大。根据…… Cypress Data Defense 发布的《2025 年应用安全状况报告》62%的安全负责人为了赶上截止日期,明知应用程序存在漏洞却仍然将其发布,并非因为他们不知道漏洞的存在,而是因为他们无法及时进行优先级排序并采取行动。 2025年人工智能系统芯片市场格局报告 中型企业的平均警报量为每天 960 条,而大型企业则高达每天 3,000 条以上。 enterprise拥有超过 20,000 名员工。
应用安全尤其加剧了这个问题,原因有三:
工具泛滥。 使用多种独立工具的安全团队之间缺乏共享上下文。您的“关键”问题 SCA 工具,也是你生活中的“关键”因素 IaC 扫描仪都落入同一个积压队列中,彼此之间没有任何关联。根据 Devo 发布的 2025 年“向无警报 SOC 演进”报告83% 的 SOC 专业人员表示,他们被警报数量、误报和缺乏警报上下文所困扰;84% 的组织报告称,分析师在不知不觉中每月多次调查同一事件。
优先考虑 CVSS。 CVSS评分衡量的是漏洞的严重程度,而非被利用的可能性。一个评级为9.8(严重)的CVE漏洞在未来30天内被攻击的可能性几乎为零。如果先于一个已被恶意利用的评级为6.5的CVE漏洞进行修复,会浪费工程时间,并造成一种虚假的进展感。
没有运行时上下文。 如果依赖项是面向互联网的,而不是在内部开发工具中运行的;如果存在漏洞的函数被实际调用,而不是被导入但未使用;或者如果环境中已经存在补偿控制措施,那么依赖项中的漏洞风险就会截然不同。不考虑这些上下文信息的工具会发出相同的“严重”警报。
结果: 高达53%的安全警报是误报根据 2024 年 Devo SOC 性能报告,工程团队学会了忽略噪音,而真正的威胁却悄然溜过。
警觉疲劳的真实代价
警报疲劳并非小麻烦,而是直接导致安全漏洞的途径。
当分析师工作量过大时,他们会发展出一些应对机制:例如,根据工具的严重程度而非实际风险进行优先级排序,将调查结果无限期地推迟到下一个迭代周期,将警报标记为“不予修复”以清理待办事项,或者干脆停止查看队列。同一份 Devo 报告证实,84% 的企业分析师在不知不觉中重复了调查工作,这是工具分散且缺乏关联层的直接后果。
后续影响:
- 证券债务不断累积。 每一个被延迟发现的漏洞都意味着一个始终存在的安全隐患,攻击者会持续对其进行扫描。
- 开发者不信任该工具当安全工具持续发出误报时,开发人员就会停止将检测结果视为可执行的操作。“狼来了”式的安全警报会演变成一种难以逆转的文化问题。
- 平均修复时间增加。 IBM的 2025年数据泄露报告成本 全球数据泄露的平均成本为4.4万美元,较上年下降9%,这主要归功于人工智能推动的更快识别和遏制速度。而那些因警报疲劳而行动迟缓的团队则恰恰错失了这一优势。
- 团队倦怠。 此 2025 年 ISC2 网络安全劳动力研究一项基于全球 16,029 名网络安全专业人员的调查发现,48% 的人因努力跟上威胁和新兴技术的最新发展而感到筋疲力尽,47% 的人表示感到工作量过大。
添加上下文后会发生哪些变化
大多数应用安全程序都失败在同一个环节:检测和优先级排序之间。扫描器会检测到所有问题,但却没有告诉你应该优先修复哪个问题。
这正是 Xygeni 的设计重点所在,也是团队被警报淹没和团队在队列中工作,每个发现都值得采取行动之间的区别。
| 脱离语境 | 使用 Xygeni | |
|---|---|---|
| 警报量 | 每周数千人 | 简化为可操作的部分 |
| 优先级 | 仅 CVSS 严重程度 | EPSS + 可及性 + 业务影响 |
| 分流 | 手动,每件工具 | 自动化,跨工具统一 |
| 误报 | 高达 52% 的调查结果 | 在到达队列之前进行筛选 |
| 成果 | 噪声工程师忽略 | 信号工程师采取行动 |
应用安全警报疲劳 Pipeline:球队分崩离析的地方
大多数团队的弱点都出现在同一阶段。并非在检测阶段,他们的工具能检测到很多问题。而是在检测和实际攻击之间的空隙。cis开发者可以采取行动的离子。
检测 → 关联 → 确定优先级 → 修复 → 监控
“优先级排序”左侧的每个阶段都可以利用现有工具轻松完成。右侧的每个阶段,发现的问题要么转化为待办事项,要么变成待办清单。瓶颈始终在中间:缺乏上下文的关联和优先级排序只是对噪音进行重新排序而已。
以下五种技巧分别针对该过程的每个阶段。 pipeline 直。
五种减少应用安全警报疲劳的方法
1. 将仅基于 CVSS 的优先级排序替换为 EPSS + 可达性。
CVSS 只能告诉你漏洞在理论上的严重程度,它无法告诉你是否有人实际利用了该漏洞,也无法告诉你你的应用程序是否存在安全隐患。
EPSS(漏洞预测评分系统)由 FIRST 维护的 每日概率评分,针对每个 CVE 漏洞,提供该漏洞在未来 30 天内被实际利用的可能性评分。该数据可通过 API 公开获取,并根据真实威胁情报每日更新。
对警报数量的影响很大。根据…… FIRST 自身的模型数据针对 CVSS 7+ 漏洞的修复策略需要覆盖 57.4% 的 CVE,才能捕获 82% 的已利用漏洞。而基于 EPSS 的策略(阈值 0.1)仅需 2.7% 的工作量即可实现 63% 的覆盖率,因为它专注于攻击者实际攻击的 CVE。
可达性分析会进一步加剧这种影响。通过分析依赖项中的易受攻击函数是否实际在代码的执行路径中被调用,仅可达性过滤一项就能降低风险。 SCA 在不降低任何实际风险的情况下,发现结果最多可提高 80%。
EPSS + 可访问性相结合,意味着您的队列将显示真正需要立即采取行动的 1-2% 的调查结果,而不是理论上的 57%。
西吉尼 SCA 它将功能级可达性分析与实时 EPSS 评分相结合,自动降低代码库中无法到达或利用概率接近于零的漏洞的优先级。 开源软件优先级排序漏斗 应用渐进式筛选,包括漏洞严重性、可利用性、可访问性和业务影响,以便您的团队看到的队列中仅包含值得人工审核的发现结果。cis离子。 看看它是如何运作的 →
2. 将不同工具的发现结果整合到单一风险视图中
工具分散是导致应用安全警报疲劳的根本原因之一。 SAST 研究结果存在于一个 dashboard, SCA 在另一个地方,而且 IaC 第三个方面是配置错误,没有办法将它们关联起来,没有共享的严重性模型,也没有统一的关于你的实际风险敞口的认识。
Application Security Posture Management (ASPM) 它通过充当所有安全工具之间的关联和优先级排序层来解决这个问题。 ASPM 吸收来自您的调查结果 SAST, SCA秘密扫描器 IaC 然后,工具和 DAST 会对多个工具报告的同一潜在问题进行去重,将不同工具的发现关联起来,以识别复合风险(同一服务中存在易受攻击的依赖项和暴露的密钥),并应用统一的业务上下文,例如哪个服务面向互联网,哪个服务处理敏感数据,哪些服务在生产环境中运行,哪些服务在测试环境中运行。
通过情境进行优先级排序 ASPM 减少高达 90% 的不必要噪音,使团队拥有一个优先级排序、可操作的队列,而不是一个列表。
Xygeni ASPM 它还能整合来自第三方工具的检测结果。如果您已有 OWASP ZAP、Acunetix、TruffleHog 或 Trivy 的检测结果,Xygeni 会将它们进行标准化和关联,并与自身的扫描结果一起呈现在同一风险视图中。您无需替换现有的工具链即可获得统一的风险视图,从第一天起即可获得关联价值。完整列表如下: 支持的外部扫描仪信息请参见此处。.
3. 为每一项发现添加业务背景
内部测试环境中的严重漏洞和面向互联网的支付服务中的严重漏洞并非同一风险。CVSS 无法区分二者。您的优先级排序引擎需要能够区分。
应根据以下业务背景维度确定每一项调查结果的优先级:
- 互联网曝光受影响的服务是否可通过公共互联网访问?面向互联网的漏洞影响范围要大得多。
- 数据敏感性这项服务是否处理个人身份信息、财务数据或凭证?数据敏感性越高,数据泄露的成本就越高。
- 生产与非生产生产系统中的漏洞需要比开发或测试环境中的漏洞更快的修复服务级别协议 (SLA)。
- 资产重要性这是核心支付服务还是辅助性的内部工具?业务价值背景会改变其紧迫性。
- 补偿控制现有的控制措施(WAF 规则、网络分段、访问限制)是否已经降低了这一发现被利用的可能性?
当这些维度嵌入到你的优先级模型中时,“关键”就不再意味着“这个扫描器给了它 9.8 分”,而是开始意味着“这是可利用的、可访问的、面向互联网的、在生产环境中的,并且正在处理客户数据”。
4. 将反馈左移:在合适的时机向开发人员提供调查结果
应用安全警报疲劳很大程度上是由上下文切换造成的。例如,一位开发人员三周前发布了代码,现在却收到一份安全漏洞报告,他已经忘记了之前代码的上下文。这会导致问题分类耗时更长、误报率上升,以及修复质量下降。
将安全反馈左移至集成开发环境 (IDE) 和 PR 审查阶段,可以从源头上解决这个问题。开发人员在代码仍在工作内存中时就能看到发现的问题。误报率降低,因为开发人员可以立即评估标记的模式是否真的是代码中的问题。修复质量提高,因为开发人员理解了上下文。平均修复时间缩短,因为无需移交给单独的安全队列。
实际应用:IDE 插件会显示 SAST 在编写代码的同时进行内联发现,通过 PR 检查来阻止合并新的关键发现,以及 pipeline 阻止在密钥或易受攻击的依赖项部署到生产环境之前就进行部署的策略。
Xygeni DevAI 直接在开发者的 IDE 中显示安全发现,并提供经组织策略验证的 AI 生成的修复建议,以便开发者在问题爆发前进行修复。 pipeline而不是在投入生产之后。 →了解更多
5. 自动对低风险发现进行分诊
并非所有发现都需要人工审核。例如,从未部署到生产环境的测试依赖项中的漏洞、六个月前轮换过的存储库中的密钥、无法外部访问的开发环境中的配置错误等等,这些发现只会浪费时间进行初步评估,却无法带来实质性的风险降低。
定义清晰的自动分类规则:自动抑制测试/开发环境中低于可配置严重性阈值的发现结果;自动关闭已被撤销或轮换的密钥;降低(而非忽略)依赖项中发现结果的优先级,前提是可达性分析确认不会调用易受攻击的代码路径;并抑制已知误报,同时记录理由。
关键在于:自动分诊规则必须可审计且定期审查。“我们压制了它”这种说法只有在你能证明压制了什么、为什么压制以及何时压制的情况下才是可接受的。cision 上次审核已完成。为了清空队列而进行全面压制,会导致真正的漏洞被忽略。
衡量应用安全警报疲劳:三个值得关注的指标
你无法减少你没有衡量的东西。这三个指标可以为你提供一个基准线,并帮助你跟踪改进情况:
信噪比您的警报中,有多少百分比是可操作的(最终导致问题修复),又有多少百分比被判定为误报、无法修复或重复?一个健康的应用程序安全计划的目标是40%以上是可操作的警报。如果您的可操作警报比例低于20%,则说明您的工具产生的噪音远大于有效信息。
平均分诊时间(MTTT)从发现问题到人工做出处置决定,需要多长时间?cis离子?较长的 MTTT 通常表示警报量过大或警报本身的上下文信息不足。
平均修复时间(MTTR) 关键发现具体来说,对于团队一致认为优先级较高的问题,从发现到修复需要多长时间?这是与数据泄露风险直接相关的指标。
Xygeni 如何端到端地解决应用安全警报疲劳问题
这正是大多数应用安全程序失败的地方,也是 Xygeni 设计时重点关注的领域。
应用安全警报疲劳是一个平台问题。单一工具之所以会产生大量噪音,是因为它们缺乏上下文信息。上下文信息需要将各种工具、运行时信号、业务影响数据和漏洞利用情报关联起来,而这需要一个统一的平台。
| 市场问题 | Xygeni 能力 | 冲击 |
|---|---|---|
| CVSS驱动的过度优先级排序 | SCA EPSS评分+可达性 | 减少 SCA 排队人数最多可达80% |
| 不同工具的研究结果零散 | ASPM 具有跨层相关性 | 噪音降低高达 90% |
| 无商业背景 | 资产清单 + 关键性映射 | 研究结果按实际业务影响排名 |
| 开发者上下文切换 | DevAI IDE 集成 | 修复是在编写代码时进行的,而不是在提交工单时进行的。 |
| 人工分诊低风险结果 | 自动化策略 + 自动分诊规则 | 工程师只关注……cis重要的离子 |
| 来自 SAST | AI供电 SAST FPR 为 16.7%。 | 业界领先的信号预处理cision |
Xygeni 的 SAST 以……为基准 OWASP基准 在所有主要漏洞类别中实现了 100% 的真阳性率,误报率为 16.7%。源头误报率越低,整个系统的噪声就越小。 pipeline.
总结
警报疲劳并不意味着你的团队失败了。它表明你的工具产生的噪音多于有效信号,而这是一个可以解决的问题。
那些最终成功脱困的团队并非通过加强优先级排序来实现的,而是通过升级优先级模型来实现的:将 EPSS 和可达性纳入考量。 SCA通过统一研究结果 ASPM将上下文嵌入到每个警报中,并将反馈提前,以便开发人员在问题累积到待办事项之前将其解决。
目标并非减少警报数量,而是建立一个警报队列,其中每个保留下来的警报都代表着一个值得人工处理的真实风险。cis离子。
👉 立即开始免费试用,专注于真正重要的风险。几分钟内即可获得扫描结果,无需信用卡。
👉 预约演示 并看看如何 ASPM 与您的特定工具栈和团队结构相匹配。
关于作者
联合创始人兼首席技术官
法蒂玛 Said 专注于面向开发者的应用安全、DevSecOps 和 software supply chain security她将复杂的安全信号转化为清晰、可操作的指导,帮助团队更快地确定优先级、减少干扰并交付更安全的代码。




