3、应用安全：向左还是向右？

应用安全：向左还是向右？

1. 应用安全工具概述

在现代开发流程中，有多种与安全相关的工具。静态应用安全测试（SAST）可扫描编写好的软件，查找常见的安全问题，如硬编码密码和 SQL 注入。动态应用安全测试（DAST）会在 Web 应用运行时进行实时安全测试。软件成分分析（SCA）工具则会查找用于构建整个应用的第三方和开源软件中的已知安全漏洞和许可问题。此外，还有云架构、容器、基础设施模板和移动安全工具，它们能生成扫描结果，识别软件代码或部署中的漏洞或其他弱点。

OWASP（开放 Web 应用安全项目）是一个由应用安全专业人员组成的开源社区，致力于开发标准、工具和项目，以帮助组织在其应用中实现安全开发。

当检测到漏洞时，只要安全工具与缺陷跟踪工具之间建立了集成，这些工具就可以向应用安全团队和工程团队创建工单。然后，应用安全团队和工程团队会对问题进行分类、优先级排序，并着手解决。

2. 运行时保护工具

除了检测工具，还有一些保护工具会部署在运行中的应用前面，试图阻止看起来恶意的活动。
- Web 应用防火墙（WAF） ：可保护运行中的 Web 应用免受攻击者利用其弱点进行攻击。
- 运行时应用安全保护（RASP） ：功能与 WAF 类似，但通常与应用一起运行，甚至可以在应用内部运行。
- 缓解软件和拒绝服务保护 ：试图阻止大量恶意流量的攻击，这些攻击可能会导致应用崩溃或执行重复任务，如暴力破解。
- 安全网关 ：通过阻止未经授权的访问和活动，提供实时