導(dǎo)語(yǔ)：石油化工行業(yè)安全檢測(cè)技術(shù)的實(shí)踐一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著數(shù)字經(jīng)濟(jì)在能源化工行業(yè)的重要性不斷增強(qiáng)，網(wǎng)絡(luò)安全成為企業(yè)數(shù)字轉(zhuǎn)型的基本保障，在軟件定義一切的技術(shù)大趨勢(shì)下，其安全性嚴(yán)重影響著企業(yè)的數(shù)據(jù)和業(yè)務(wù)的安全，從實(shí)戰(zhàn)化和體系化的角度，安全左移既是攻防兩端戰(zhàn)術(shù)發(fā)展的需要，也是企業(yè)降低因軟件安全缺陷造成安全事件影響以及后期修復(fù)成本的需要，本文根據(jù)實(shí)際工作經(jīng)驗(yàn)結(jié)合國(guó)際領(lǐng)先的Gartner魔力象限報(bào)告，分析應(yīng)用程序檢測(cè)領(lǐng)域的各種技術(shù)優(yōu)勢(shì)和發(fā)展趨勢(shì)，為企業(yè)在建立DevSecOps體系時(shí)提供參考。

關(guān)鍵詞：應(yīng)用安全；數(shù)字化能力；代碼審計(jì)；交互式應(yīng)用安全檢測(cè)

近年來(lái)，中國(guó)石化嚴(yán)格落實(shí)國(guó)家“三化六防”的總體要求，并以科技力量全面推動(dòng)全集團(tuán)網(wǎng)絡(luò)安全體系建設(shè)，完善集團(tuán)網(wǎng)絡(luò)安全頂層設(shè)計(jì)，開(kāi)展實(shí)戰(zhàn)化內(nèi)部攻防演練，落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0新標(biāo)準(zhǔn)，持續(xù)建設(shè)提升網(wǎng)絡(luò)安全綜合防范體系，全集團(tuán)網(wǎng)絡(luò)安全整體防護(hù)水平取得長(zhǎng)足進(jìn)步。在集團(tuán)公司數(shù)字化轉(zhuǎn)型的大背景下，信息系統(tǒng)的穩(wěn)定性和安全性將對(duì)轉(zhuǎn)型戰(zhàn)略的產(chǎn)生有深度的影響，在國(guó)家工業(yè)互聯(lián)網(wǎng)白皮書(shū)中，將安全和平臺(tái)、網(wǎng)絡(luò)共同定義為工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)。云計(jì)算、大數(shù)據(jù)、軟件定義更加凸顯信息系統(tǒng)的“軟實(shí)力”的比重越來(lái)越高，因此軟件的安全性在整體安全體系中的重要性愈發(fā)突出。提升應(yīng)用程序的安全水平，在開(kāi)發(fā)測(cè)試階段盡可能多地發(fā)現(xiàn)軟件安全漏洞，將代碼錯(cuò)誤，邏輯缺陷消滅在系統(tǒng)上線之前，實(shí)現(xiàn)安全防線“左移”，是落實(shí)“三化六防”要求的重要舉措。網(wǎng)絡(luò)安全市場(chǎng)碎片化情況嚴(yán)重，賽迪、IDG和Gartner等研究機(jī)構(gòu)的調(diào)研報(bào)告就成為用戶了解技術(shù)和選擇產(chǎn)品的參考渠道之一，在應(yīng)用安全檢測(cè)領(lǐng)域，Gartner的魔力象限是歷時(shí)較長(zhǎng)，也較權(quán)威的技術(shù)、產(chǎn)品和市場(chǎng)競(jìng)爭(zhēng)力分析的綜合性報(bào)告，通過(guò)歷年報(bào)告持續(xù)分析，對(duì)應(yīng)用檢測(cè)技術(shù)發(fā)展和石化應(yīng)用需求適配形成了較為良性的互動(dòng)。

1中國(guó)石化應(yīng)用系統(tǒng)安全的控制機(jī)制

中國(guó)石化信息化起步早，發(fā)展周期長(zhǎng)，產(chǎn)業(yè)涉及勘探、煉化、銷售等完整的上中下游鏈條，數(shù)據(jù)中心遍布全國(guó)和海外，應(yīng)用系統(tǒng)包括經(jīng)營(yíng)、生產(chǎn)、銷售、金融、客戶、工程、科技的方方面面，內(nèi)部人員能力參差不齊，外部供應(yīng)鏈多樣且復(fù)雜，攻擊暴露面多，作為能源行業(yè)，網(wǎng)絡(luò)安全事件影響大，經(jīng)過(guò)多年網(wǎng)絡(luò)安全體系建設(shè)，在基礎(chǔ)設(shè)施防護(hù)方面建立了較為齊備的縱深防御體系，但應(yīng)用和數(shù)據(jù)安全依然面臨著較大的風(fēng)險(xiǎn)。中國(guó)石化為加強(qiáng)信息系統(tǒng)全生命周期的安全管理，規(guī)范信息系統(tǒng)上線/驗(yàn)收安全檢查流程，及時(shí)發(fā)現(xiàn)和消除信息系統(tǒng)存在的安全隱患，消除或降低信息系統(tǒng)的安全風(fēng)險(xiǎn)，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，根據(jù)《中國(guó)石化信息安全管理辦法》、《中國(guó)石化信息安全監(jiān)督檢查實(shí)施細(xì)則》，特制定《信息系統(tǒng)上線/驗(yàn)收安全檢查工作規(guī)范》，此工作規(guī)范為應(yīng)用系統(tǒng)安全的紅線或者底線，結(jié)合信息安全“三同步”要求，實(shí)現(xiàn)應(yīng)用的生命周期安全管控。信息系統(tǒng)上線/驗(yàn)收安全檢查工作由各單位信息化管理部門(mén)負(fù)責(zé)組織實(shí)施。信息化管理部門(mén)組織成立信息系統(tǒng)上線/驗(yàn)收信息安全檢查組，檢查組嚴(yán)格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行全面、細(xì)致的檢查工作。信息系統(tǒng)上線/驗(yàn)收安全檢查工作共分為五個(gè)階段，分別是準(zhǔn)備階段、調(diào)研階段、現(xiàn)場(chǎng)檢查階段、整改階段以及檢查收尾階段。在這5個(gè)階段中，一些是管理控制相關(guān)內(nèi)容，比如申請(qǐng)表，自查表，系統(tǒng)定級(jí)情況等，一些是技術(shù)檢查相關(guān)內(nèi)容，比如安全基線，系統(tǒng)漏洞檢查，應(yīng)用漏洞檢查，對(duì)于重要應(yīng)用，多類型的應(yīng)用安全檢測(cè)成為必查項(xiàng)目。現(xiàn)場(chǎng)檢查是應(yīng)用系統(tǒng)安全重點(diǎn)階段，其工作包括人員訪談、配置核查、資料查閱、漏洞掃描、滲透測(cè)試等方式。檢查內(nèi)容包括但不限于以下內(nèi)容：安全配置檢查、滲透性安全測(cè)試和漏洞掃描。（1）安全配置檢查是指檢查系統(tǒng)各項(xiàng)配置是否符合等級(jí)保護(hù)或基線的要求，即各安全策略是否得到實(shí)現(xiàn)。其檢查范圍包括網(wǎng)絡(luò)層面、主機(jī)層面、應(yīng)用層面及數(shù)據(jù)層面。（2）滲透性安全測(cè)試是從信息系統(tǒng)的外部或內(nèi)部進(jìn)行模擬滲透性攻擊測(cè)試，主要測(cè)試信息系統(tǒng)對(duì)內(nèi)外部風(fēng)險(xiǎn)暴露的脆弱性。（3）漏洞掃描是指利用掃描工具對(duì)信息系統(tǒng)的安全脆弱性進(jìn)行自動(dòng)化檢查。漏洞掃描包含主機(jī)掃描和應(yīng)用掃描。各項(xiàng)技術(shù)性檢測(cè)就需要依靠系統(tǒng)平臺(tái)支撐完成相應(yīng)的檢測(cè)和閉環(huán)管理工作。

2應(yīng)用程序安全檢測(cè)技術(shù)分類

隨著基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)體系的日益完善，直接通過(guò)網(wǎng)絡(luò)層或者系統(tǒng)層漏洞完成攻擊操作愈發(fā)困難，而應(yīng)用面向交易和面向用戶的屬性，無(wú)法采用網(wǎng)絡(luò)的方式屏蔽暴露面，因此攻擊者可以通過(guò)合法和開(kāi)放界面實(shí)現(xiàn)攻擊目的，尤其云計(jì)算、大數(shù)據(jù)和基于軟件定義技術(shù)的發(fā)展，基于API接口方式的應(yīng)用廣泛，應(yīng)用層攻擊更加普遍，據(jù)Gartner預(yù)測(cè)，到2023年，90%的Web應(yīng)用程序?qū)⒁訟PI而非用戶界面（UI）的形式受到更多的攻擊，而這一數(shù)據(jù)在2020年是50%。到2022年，API濫用將從不常見(jiàn)的攻擊轉(zhuǎn)變?yōu)樽畛Ｒ?jiàn)的攻擊，從而導(dǎo)致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露?？梢钥闯鲈赪eb攻擊中針對(duì)API的攻擊將占據(jù)主流。面對(duì)占據(jù)主流地位的應(yīng)用攻擊，相應(yīng)的應(yīng)用安全檢測(cè)技術(shù)也在不斷發(fā)展，根據(jù)檢測(cè)技術(shù)特點(diǎn)和應(yīng)用場(chǎng)景，主要的應(yīng)用安全檢測(cè)技術(shù)有如下三種：

2.1靜態(tài)應(yīng)用安全檢測(cè)（SAST）技術(shù)

即通常所說(shuō)的代碼審計(jì)，是一種分析應(yīng)用程序源代碼、字節(jié)碼或者二進(jìn)制代碼的技術(shù)，目的是發(fā)現(xiàn)存在的安全漏洞，適用于軟件生命周期（SDL）開(kāi)發(fā)、測(cè)試階段。石化盈科目前在部分項(xiàng)目中會(huì)采用此種方式用以加強(qiáng)開(kāi)發(fā)和測(cè)試階段的代碼級(jí)安全漏洞的發(fā)現(xiàn)和加固。例如總部集中部署的部分智能工廠應(yīng)用。其優(yōu)點(diǎn)在于發(fā)現(xiàn)更多的代碼級(jí)漏洞，比如硬編碼缺陷或者溢出級(jí)漏洞，不足之處在于漏洞報(bào)告數(shù)量眾多，是否具有利用價(jià)值需要專業(yè)人員評(píng)判和檢驗(yàn)。

2.2動(dòng)態(tài)應(yīng)用安全檢測(cè)（DAST）技術(shù)

即通常所說(shuō)的應(yīng)用安全檢測(cè)或者掃描，DAST模擬黑客手法，對(duì)應(yīng)用程序（常見(jiàn)的對(duì)象是基于Web技術(shù)的應(yīng)用程序和服務(wù)）進(jìn)行仿真攻擊，通過(guò)分析應(yīng)用程序的對(duì)于攻擊負(fù)載的反應(yīng)，結(jié)合攻擊特征庫(kù)，確定是否存在應(yīng)用漏洞。適用于測(cè)試或運(yùn)維階段分析處于運(yùn)行狀態(tài)的應(yīng)用程序。這是最常見(jiàn)的應(yīng)用程序檢測(cè)方式，在總部部署系統(tǒng)需要在上線階段和驗(yàn)收階段完成此類檢測(cè)，高中風(fēng)險(xiǎn)漏洞須整改才能獲得相應(yīng)部門(mén)的簽字，這也是外部測(cè)評(píng)機(jī)構(gòu)的必測(cè)內(nèi)容。其優(yōu)點(diǎn)是操作簡(jiǎn)單，而且是業(yè)界通用的檢測(cè)方式，在滿足合規(guī)方面是必選項(xiàng)，而且以攻擊的角度檢驗(yàn)應(yīng)用的安全性，經(jīng)過(guò)良好配置的檢測(cè)報(bào)告具有較高的參考價(jià)值。

2.3交互式應(yīng)用安全檢測(cè)（IAST）

該技術(shù)同時(shí)結(jié)合了SAST和DAST的技術(shù)特點(diǎn)，不像DAST只是通過(guò)網(wǎng)絡(luò)流量中應(yīng)用的響應(yīng)進(jìn)行攻擊判定，也不像SAST需要獲得源代碼，它通常在測(cè)試運(yùn)行環(huán)境中部署代理來(lái)觀察操作或攻擊并識(shí)別漏洞。石化盈科系統(tǒng)集成事業(yè)部開(kāi)發(fā)研制的云安全檢測(cè)平臺(tái)可以看作是采用類似技術(shù)的安全檢測(cè)產(chǎn)品。其優(yōu)點(diǎn)在于可以檢測(cè)到一些純黑盒方式無(wú)法識(shí)別的安全漏洞，例如業(yè)務(wù)邏輯缺陷，同時(shí)也在檢測(cè)深度和速度上具有比較大的靈活性，同時(shí)與白盒技術(shù)相比，其漏洞可被利用的可信度更高，誤報(bào)率相對(duì)較低。隨著供應(yīng)鏈攻擊事件的快速增長(zhǎng)，開(kāi)源軟件的漏洞也列入了應(yīng)用安全檢測(cè)范疇，軟件組合分析（SCA）技術(shù)用于識(shí)別應(yīng)用程序中使用的開(kāi)源和第三方組件及其已知的安全漏洞，SCA在經(jīng)歷過(guò)幾年的不溫不火之外，目前也呈現(xiàn)快速上升的趨勢(shì)，以前作為代碼審計(jì)類產(chǎn)品的功能組件，目前有些廠家推出了獨(dú)立的產(chǎn)品，也許在不遠(yuǎn)的將來(lái)，會(huì)作為單獨(dú)的技術(shù)產(chǎn)品進(jìn)行評(píng)測(cè)。應(yīng)用安全檢測(cè)傳統(tǒng)上是按照產(chǎn)品模式交付的，在云計(jì)算大行其道的當(dāng)下，越來(lái)越多的廠商傾向于采用訂閱服務(wù)的方式，其優(yōu)勢(shì)在于降低一次投入成本，促進(jìn)成交，同時(shí)也加強(qiáng)用戶黏性，實(shí)現(xiàn)長(zhǎng)期合作的目的，也減少傳統(tǒng)交易模式下的維保和軟件更新的客戶困擾。其缺點(diǎn)是不適用于國(guó)內(nèi)用戶的采購(gòu)習(xí)慣和采購(gòu)規(guī)程，因此在國(guó)內(nèi)尤其是石化企業(yè)中推廣困難。

3應(yīng)用安全主流供應(yīng)商特點(diǎn)分析

在2021年的魔力象限中，老牌廠商依然占據(jù)了主要位置，說(shuō)明這個(gè)產(chǎn)業(yè)對(duì)于技術(shù)積累還是有一定要求的，同時(shí)一些代碼托管平臺(tái)借助著Devops的優(yōu)勢(shì)出現(xiàn)在不同象限中，展現(xiàn)出業(yè)務(wù)發(fā)展的需求和趨勢(shì)，還有一些產(chǎn)品跌出了象限，以及有些產(chǎn)品換了新東家，雖然應(yīng)用安全檢測(cè)需求很旺盛，但市場(chǎng)并不大，這些年一些新勢(shì)力加入，市場(chǎng)競(jìng)爭(zhēng)激烈程度有所加強(qiáng)。榜單產(chǎn)品中選擇在國(guó)內(nèi)主要是石化行業(yè)應(yīng)用較多的產(chǎn)品進(jìn)行綜合分析，有些產(chǎn)品的主要市場(chǎng)不在國(guó)內(nèi)，暫不做介紹。

3.1HCLSoftware

其實(shí)就是IBM的應(yīng)用安全旗艦產(chǎn)品Appscan，前幾年售賣給HCL，其DAST是安全測(cè)評(píng)機(jī)構(gòu)、安全團(tuán)隊(duì)和安全人員的必備工具，和HP的fortify同為元老級(jí)的應(yīng)用安全檢測(cè)工具。在2020年的魔力象限中可能是因?yàn)閾Q了新東家，暫時(shí)失去領(lǐng)導(dǎo)者地位，今年重回領(lǐng)導(dǎo)者象限，但與業(yè)界領(lǐng)先者的差距還是較大。HCL繼承了IBM產(chǎn)品線全的特點(diǎn)，解決方案包括SAST，DAST和IAST，也分別提供標(biāo)準(zhǔn)版和企業(yè)版，而且通過(guò)Asoc提供SaaS服務(wù)，此外通過(guò)ICA和IFA技術(shù)，提高了檢測(cè)速率和降低了誤報(bào)率，但是IBM沒(méi)有SCA，其企業(yè)版通過(guò)和BD集成完善此部分功能。IAST的能力和其他競(jìng)爭(zhēng)對(duì)手相比尚未得到認(rèn)可。在石化行業(yè)，Appscan的動(dòng)態(tài)檢測(cè)技術(shù)引入時(shí)間長(zhǎng)，檢測(cè)范圍廣，其完整性和權(quán)威性還是有保障的，但是IBM產(chǎn)品優(yōu)勢(shì)和劣勢(shì)都在于產(chǎn)品過(guò)“重”，其功能的大而全在效率上就不是特突出，而且所謂的整體解決方案意味著技術(shù)之間的耦合性較強(qiáng)，要實(shí)現(xiàn)IBM描繪的完整功能藍(lán)圖可能需要采用從開(kāi)發(fā)環(huán)境、集成系統(tǒng)和檢測(cè)平臺(tái)的整套方案。

3.2MicroFocus

又是一個(gè)長(zhǎng)著新面孔的老朋友，MicroFocus收購(gòu)了HP的安全檢測(cè)產(chǎn)品線，將Webinspect和Fortify納入麾下。在應(yīng)用檢測(cè)方面，HP的基礎(chǔ)比IBM更深厚，產(chǎn)品全，品牌認(rèn)知度更高，除了具備自己的SCA外，也能和BD集成，DevInspect做得比較成熟、開(kāi)發(fā)過(guò)程集成度較高。HP將此業(yè)務(wù)轉(zhuǎn)讓給MicroFocus，從絕對(duì)的領(lǐng)頭羊地位跌落，目前雖然還處于第一象限，但和HCL一樣，相對(duì)落后了，用戶普遍反映配置復(fù)雜、學(xué)習(xí)量大、易用性較差。在實(shí)測(cè)過(guò)程中，F(xiàn)ortify還是偏重與客戶端部署，與云端服務(wù)的發(fā)展趨勢(shì)不是很一致，當(dāng)然客戶端部署有其優(yōu)越性，其檢測(cè)功能也依然強(qiáng)大，但從石化信息化發(fā)展“一切應(yīng)用上云”的要求來(lái)看，顯得有些跟不上節(jié)奏。

3.3Checkmarx

來(lái)自以色列，但凡來(lái)自這個(gè)國(guó)家的產(chǎn)品，讓人又喜又恨，喜的是技術(shù)的確非常好，而且抓住一個(gè)點(diǎn)能做得很深很細(xì)，恨的是市場(chǎng)一般，找支持找服務(wù)比較難。Checkmarx的sast做得非常強(qiáng)，可能是目前支持語(yǔ)言種類最多的產(chǎn)品，不像其他的主要支持Java或者.Net.Checkmarx有一套完整的SDLC工具集和devops方案，包括代碼庫(kù)、編譯系統(tǒng)、bug追蹤、IDE和QA測(cè)試工具，通過(guò)周期循環(huán)和并行機(jī)制，其檢測(cè)效率較高，而且配置簡(jiǎn)單，學(xué)習(xí)難度較小。其缺點(diǎn)在于只做SAST，DAST是和Rapid7合作聯(lián)盟，也沒(méi)有IAST和RASP，其余WAF集成聯(lián)動(dòng)只支持ModSecurity，對(duì)象不是很多。在實(shí)戰(zhàn)中，Checkmarx的服務(wù)化做得較好，可以比較簡(jiǎn)單地實(shí)現(xiàn)多租戶管理，應(yīng)該可以通過(guò)二次開(kāi)發(fā)實(shí)現(xiàn)與石化智云平臺(tái)的集成，補(bǔ)充完善云安全服務(wù)目錄。其增量檢測(cè)的技術(shù)也有效地降低了工作負(fù)載和檢測(cè)時(shí)長(zhǎng)，適合企業(yè)級(jí)的應(yīng)用安全管理。但是在功能上對(duì)于配置類的安全檢測(cè)結(jié)果不如Fortify完整全面。

3.4Synopsys

中文名字叫新思，是個(gè)專做測(cè)試的企業(yè)，在中美貿(mào)易戰(zhàn)中，屬于技術(shù)禁用的企業(yè)之一，在軟硬件檢測(cè)領(lǐng)域具有很強(qiáng)的實(shí)力，安全的檢測(cè)市場(chǎng)進(jìn)入時(shí)間不長(zhǎng)，Synopsys的Coverity是代碼管理工具中C/C++掃描功能最強(qiáng)、誤報(bào)最少的軟件。新思來(lái)自美國(guó)加利福尼亞的山景城，近年來(lái)在AST領(lǐng)域發(fā)力，陸續(xù)收購(gòu)了多家AST公司，將自己的排名從第四象限直接拉升到第一象限，這些收購(gòu)包括：Cigital、Codiscope、Codenomicon、Converity、Protecode等，使其具備了IAST、SAST和SCA的較完整的支撐能力。Sysnopsys的強(qiáng)項(xiàng)之一在IoT領(lǐng)域，支持廣泛的IoT相關(guān)協(xié)議，比如XMPP、MQTT、CoAP、AMQP，除了檢測(cè)之外，安全的IDE也是開(kāi)發(fā)安全管理的一個(gè)重要環(huán)節(jié)，可以在代碼輸入階段做語(yǔ)法檢查。工作原理并不復(fù)雜，檢測(cè)規(guī)則或者知識(shí)庫(kù)是其核心能力，這個(gè)就要看公司實(shí)力和積累了。Synopsys的問(wèn)題在于北美區(qū)域之外的市場(chǎng)影響力不足，還有大量收購(gòu)后的各類產(chǎn)品如何整合都需要進(jìn)一步觀察，此外，不提供本地部署的DAST可能會(huì)在對(duì)一些安全控制敏感的組織選擇時(shí)產(chǎn)生一定影響。從其他一些新上榜的企業(yè)或者產(chǎn)品也可以看出一些技術(shù)發(fā)展的趨勢(shì)，例如Github、Gitlab的上榜，提供AST作為其更廣泛的DevOps平臺(tái)的一部分。它們?cè)谧约旱墓ぷ髁鞒讨姓狭松虡I(yè)或開(kāi)源掃描軟件，可以為平臺(tái)用戶提供SAST和DAST服務(wù)。利用平臺(tái)優(yōu)勢(shì)，還為SCA提供依賴掃描。在GitLab的安全功能模塊中還包括機(jī)密管理、容器掃描的開(kāi)源掃描功能和許可證合規(guī)性檢查，非常適合使用其平臺(tái)進(jìn)行持續(xù)交付并需要嵌入應(yīng)用軟件安全檢測(cè)工作流程的組織。

4結(jié)束語(yǔ)

在2020年之前，綠盟（Nsfocus）作為唯一的國(guó)內(nèi)代表占據(jù)榜上的一席之位，現(xiàn)在的榜單已經(jīng)全部被國(guó)外品牌占據(jù)，其實(shí)從Gartner所作的技術(shù)發(fā)展趨勢(shì)分析中可見(jiàn)一斑，對(duì)于api、容器、云原生應(yīng)用的檢測(cè)成為重要的考核指標(biāo)，國(guó)外的老牌廠商延續(xù)了自身深厚的研發(fā)功力，迅速完成了產(chǎn)品的更新迭代，形成了完整的解決方案，而國(guó)內(nèi)老牌檢測(cè)企業(yè)則尚未跟上這一變化，這不僅是檢測(cè)技術(shù)研究的落后，也是整體應(yīng)用場(chǎng)景覆蓋不全，反而倒是一些小而新的安全企業(yè)專門(mén)針對(duì)新興需求開(kāi)發(fā)出了相應(yīng)的產(chǎn)品，但其又缺乏歷史積累，沒(méi)有形成整體解決方案，另外還有一些互聯(lián)網(wǎng)廠商根據(jù)自身需求，在引進(jìn)或者開(kāi)源的基礎(chǔ)上，開(kāi)發(fā)出了適合需要的工具，但并未形成成熟產(chǎn)品輸出到市場(chǎng)。我們可以看到，應(yīng)用安全檢測(cè)市場(chǎng)的一些國(guó)外老牌廠商已經(jīng)在此細(xì)分領(lǐng)域耕耘了多年，也不斷開(kāi)發(fā)出不同的產(chǎn)品功能和提供了適應(yīng)技術(shù)發(fā)展的業(yè)務(wù)模式，隨著安全防線左移需求的不斷加強(qiáng)，作為最接近核心資產(chǎn)“數(shù)據(jù)”的應(yīng)用程序，其安全性將愈發(fā)重要，也必將需要更好的安全產(chǎn)品去應(yīng)對(duì)復(fù)雜安全環(huán)境，提升組織應(yīng)用的縱深安全防護(hù)水平。

參考文獻(xiàn)：

[1]劉遠(yuǎn).石油化工行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)的探索與思考[J].中國(guó)信息安全，2019（8）.

[2]何金棟.Web應(yīng)用安全檢測(cè)工具的設(shè)計(jì)和實(shí)現(xiàn)[J].通訊世界，2016（23）.

[3]DaleGardner，MarkHorvath.MagicQuadrantforApplicationSecurityTesting，Published27May2021.

[4]聽(tīng)云.解讀GartnerMQ（1）丨一文讀懂：讓微軟、華為“折腰”的Gartner魔力，2020-03-05.

[5]索亮.對(duì)主流掃描工具漏洞檢測(cè)能力的測(cè)試與分析[J].信息安全與技術(shù)，2010（06）.

[6]高秋燕.基于高校的網(wǎng)絡(luò)安全檢測(cè)與防護(hù)[J].電子世界，2021（01）.

[7]邊鋒.Web應(yīng)用安全漏洞“一掃光”[J].中國(guó)計(jì)算機(jī)用戶，2007（24）.

[8]Synopsys：DevSecOpspracticesandopen-sourcemanagementin2020，NetworkSecurity，2020-12-01.

作者：孫笑慶 單位：石化盈科信息技術(shù)有限責(zé)任公司