WhiteSource SAST：下一代应用程序安全

2022年2月15日，WhiteSource宣布进入静态应用安全测试(SAST)市场。这对WhiteSource来说是一项重大的进步，到目前为止，WhiteSource一直专注于开源软件安全。本篇文章中，我将说明为什么WhiteSource决定将这一举措从开源转向专有代码安全，以及它将为开发人员、安全团队及管理组织创造的价值和具备的意义。

应对不断升级的风险，WhiteSource需要一种新的应用程序安全方法

网络犯罪分子一直在寻求利用新方法来对组织系统进行攻击和渗透。正如Threatpost在2021年6月报道的那样，在过去几年中，攻击者将注意力转向了应用程度层次，并且对该层次内容的攻击越演越烈。所以此类攻击的影响比之前的情况范围更广、性质更严重。

这部分是由于成功实施现有网络安全解决方案和网络安全解决方案，迫使攻击者寻找新漏洞的和其他漏洞。他们想要对网络安全发动攻击已经变得越来越困难，所以他们寻求其他地方取得突破，包括在应用程序层次寻找漏洞。所以对应用程序的攻击比对网络安全的攻击相比要严重得多，而在过去20年对网络安全的攻击是攻击者们的重点方向。

随着攻击者转向不同的目标，安全组织必须通过不断创新来应对这一挑战，从而对其进行有效阻止。

为什么选择SAST？

对于大型企业来讲，拥有和运营多种安全产品较为常见。在某些情况下，这个比例超过50%。有时可能需要使用专用的安全工具，例如，当客户要求产品特定应用于某个专业领域时。但是在应用程序处于安全状态的情况下，安全经理和应用程序开发人员都不得应用其他供应商的安全产品，这是目前业界的普遍做法。

有时候，这种分化是极为不明智的。以SQL注入漏洞为例，SQL注入漏洞可能是由开源库中的漏洞或自定义源代码中的弱点造成的，也有可能两者兼而有之。直至最近，要发现该类问题的根本原因，还需要使用不同的工具，而这些工具之间并不互通互联。如果漏洞是由自定义源代码和开放源代码共同造成的，那么目前尚没有一种有效而直接的方法来确定究竟哪种漏洞会导致更大的风险，不也知道应该优先考虑采取哪些补救措施。当修复这些漏洞所需的资源是同一组资源时，这是难免会让人有些恼火。

WhiteSource的愿景是利用我们在软件组合分析（SCA）方面的成功经验，将我们的专业知识应用于SAST，这样用户就可以只需一个解决方案就能发现并解决所有风险，而无需使用其他工具。它是解决应用程序安全问题的一种新型、更集成的方法，可以为用户提供更简单、更快捷、更有效的使用体验。

WhiteSource特殊的价值：自动修复

出于以上这些原因，扩大产品的应用范围（包括自定义代码漏洞检测和修复）对于WhiteSource以及我们咨询小组的客户来说都是意义非凡的。WhiteSource的下一个问题是：我们还能创造哪些其他价值？

传统上来讲，SAST产品都是为了出于遵守法规的目的而设计的：通过运行静态分析测试来发现漏洞，这样安全管理组织就可以作出选择。但当前的市场已经与过去大为不同。与过去相比，今天的企业对降低软件风险更感兴趣。这项新的要求需要一种新方法（包括在发现漏洞后采取补救措施），而非仅仅是报告漏洞。

在WhiteSource，我们认为漏洞检测本身没有太多的价值，这充其量只能算作是工作的一半内容。这就是为什么在过去五年中，我们一直致力于为开源软件构建世界上最好的自动修复工具的原因所在。WhiteSource拥有领先的市场领导地位（详见最新Forrester报告：Forrester Wave：软件组合分析，Q3 2021），这也是为什么WhiteSource现在打算为自定义源代码安全漏洞构建世界上最好的自动修复的原因所在。

我相信我们的产品市场机会是巨大的。自动修复功能是WhiteSource产品最著名的功能。这种功能使得产品开发人员能够节省大量时间，从而使安全管理组织能够更快捷、更安全地开发应用程序。我们现在的目标是成为全球第一家开发下一代应用程序安全平台的安全供应商，该平台不仅能发现自定义代码漏洞，还能对其进行修复。

WhiteSource价值：左移

WhiteSource的另一个产品理念是在软件开发生命周期(SDLC)中“向左”转移安全测试。许多研究表明了产品早期测试和产品早期修复的优势，因此我们设计了软件组合分析产品。展望未来，我们希望通过新型SAST产品来实施这一理念。目前，WhiteSourceSAST通过与构建系统、存储库和CI/CD管道集成而向左移动。该产品的自动触发器反应专家速且易于设置。而且由于扫描引擎具备超高的速度（比传统SAST产品快10倍），您的工程师将在几分钟或更短的时间内完成任务。

构建下一代SAST平台

对于WhiteSource，我们对SAST平台的开发一直是构建完整解决方案的重点，其中包括保护应用程序所需的一切内容。这包括“外部购买和自行建造”两种方式。

虽然WhiteSource拥有一些世界上最优秀的应用程序安全设计工程师，但我们也寻求在公司之外引进先进技术。正如我们今天的新闻稿中提到的那样，我们已经收购了两家具备先进技术的公司，并将其技术用于WhiteSource SAST。Xanitizer为客户提供了极其准确的Java扫描引擎和JavaScript扫描引擎功能，DefenseCode为客户提供了极其快速的扫描引擎以及提供对多种开发语言的广泛支持。结合我们的专有技术，我们所服务的客户将拥有一个优秀的应用程序安全解决方案，它将快速扫描与极高的准确性相结合，在一个平台上提供完整的“检测、优先应用和修复”价值链。

SAST平台的未来及其对安全生态系统的影响

WhiteSource新开发的SAST技术是行业一大进步，对用户也具有重大的使用价值。它标志着应用程序安全的实施方式及其提供的价值发生了重大变化。

WhiteSource正在引领下一代应用程序安全系统的开发。我本人预计，从现在起至三四年后，您的应用程序安全系统将自动运行且完全无需人工操作。您会知道该系统运行到哪一步骤，但您却不必为此过多操心。您无需关注该系统的操作内容。它将自动捕获漏洞并对其进行修复，从而确保您的软件安全可靠。这就是我们的愿望：提供如此高效的自动修复功能，保证您的应用程序安全无忧。