Is ASPM 安全的未来如何？

应用程序安全问题

扫描仪太多

因为我最初主张 ASPM 如： 8种扫描仪，至少又出现了两个。安全团队可以忍受扫描仪，但前提是它们必须与众不同。在运行时扫描服务器不一定 需要 与扫描存储库处于同一位置。问题是，存储库已成为查找和修复漏洞的更可靠的事实来源。

虽然存储库位于同一位置，但可以容纳数十个执行各种不同操作的不同文件。传统上，安全团队需要设置多个不同的 Docker 镜像或二进制文件，以便在这些文件发生更改和部署时对其进行扫描。维护扫描程序很容易变成多项全职工作，因为它们都需要特殊配置才能处理不同的代码段。

安全团队 需要可见性 所有这些不同的扫描仪，但受益于“无代理”的简单性 pipeline 卷筒纸hooks 零配置进行扫描，或者至少告诉单个工具进行扫描。 ASPM 工具在提供简单的可视性方面做得很好。

误报过多

反对将所有扫描仪整合到一个地方的观点是，人们认为扫描质量会下降。我对这种担忧很敏感，但有两点反对。首先，许多工具只是包装了相同的开源内容，而一体化扫描仪只是对此更诚实而已。其次，这些论点总是依赖于这样一种观点，即某人的扫描仪不可能和他们自己的一样好。 

归根结底，问题只是解决误报过多的问题。可达性是指发现漏洞是否真的可以被利用。许多 ASPM 工具已经内置了“足够好”的可达性版本，因此，越来越难以争辩说它无法做到。

最糟糕的是，扫描 CVEs 仅凭这一点可能会留下关键的盲点，这就是为什么我欣赏 Xygeni 这样的提供商，原因有二：首先，他们扫描上游恶意软件而不仅仅是漏洞。其次，他们的 commit寻找其他可利用的配置，如 pipeline 错误配置，以及检测这些攻击是否发生。

修复问题确实很困难

安全团队发现修复漏洞的速度非常慢。我听说过很多恐怖故事，即使是最严重的零日漏洞也要花几个月的时间才能在整个 enterprise 生态系统。虽然许多工具都说这个问题是“优先级”，但你可以整天进行优先级排序，但如果工程师无法轻松修复某些问题，那么一切都是徒劳的。

这更像是“漏洞管理”方面的趋势 ASPM但帮助开发人员修复漏洞才是 ASPM.

代码太多，速度太快

如果我们认为云加速了代码部署，那么生成式人工智能只是提高了代码的速度。另一个未被深入讨论的问题是生成式人工智能如何继续向新的受众开放代码——允许从销售团队到会计团队的每个人创建执行简单操作的 Python 脚本。 

这些发展使得频繁、频繁地在不同环境中进行扫描比以往任何时候都更加重要。如果设置带有扫描功能的新应用程序需要经过漫长的审批流程，那么您就只能准备盲目操作了。

环境过于多样化

虽然扫描器的数量可能令人眼花缭乱，但当你添加每个人的每月口味的 Javascript 框架、语言变体或其他框架时，找到“同类最佳的单点解决方案”就不再可能了。我看不到安全团队在为每种口味的 Javascript 寻找同类最佳的扫描解决方案。单一 ASPM 与逐个语言进行扫描相比，该工具可以使扫描覆盖范围更加广泛。