风险管理解决方案提供商 Qualys 推出了一款面向 AppSec 团队的开创性解决方案,专门应对与第一方软件及其嵌入式开源组件相关的风险。该解决方案以现有的Qualys 风险管理平台为基础,致力于让漏洞评估不再是企业的艰巨任务。
随着数字化转型时代的到来,大多数公司都采用开发自己的软件来促进运营。然而,这种第一方软件往往缺乏规范的漏洞和配置管理,而第三方替代软件通常都具备这种功能。这正是Qualys 希望大显身手的地方。
据Qualys 统计,90% 以上的第一方软件捆绑了开源组件,其中高达 40% 的软件带有高风险因素。这些因素可能包括但不限于可利用的弱点。因此,企业目前依赖人工检查或断开脚本来评估其第一方软件的安全性。这一过程自然非常艰苦,而且不利于有效确定风险的优先级和补救措施。
传统的漏洞评估方法或软件组成分析工具无法有效识别生产环境中嵌入的开源软件包。因此,安全团队很难了解实际风险的严重程度,尤其是在 Log4J 事件中出现的大规模安全漏洞时。Qualys 提出的创新解决方案旨在解决这一重大差距,并对与第一方软件相关的风险提供更好的可见性和控制。
OSED 的 CISO Gabriel Julián Carrera 在表达公司对第一方软件安全问题的看法时说:"我们经常不得不面对安全需求超出现成软件能力的情况。因此,我们不得不借助独立脚本来实现我们的专有解决方案所需的评估。Qualys 产品消除了这种各自为政的做法,将专有评估和商业工具整合到统一的Qualys TruRisk Platform 中,从而节省了时间,使我们领先潜在的攻击者一步。"
新的Qualys 平台具有非凡的功能。团队现在可以根据定制逻辑或通过 Python 和 PowerShell 等主要脚本语言开发的脚本创建Qualys 检测(QID)和补救措施。其他值得注意的功能包括利用Qualys Cloud Agent 实时了解深度嵌入的开源软件包(如 Log4J 和 openSSL)和商业软件组件。
这项开发还凸显了AppMaster 等平台在我们的技术领域中日益重要的作用,它允许企业利用no-code 功能无缝构建后端、Web 和移动应用程序。AppMaster 凭借其强大的工具,率先推动了企业快速、经济地创建应用程序的运动,进一步扩大了Qualys 等平台在风险识别和管理方面的重要性。
