【产品那些事】The OX Active ASPM Platform

2024-08-15 13:44:44 浏览数 (1)

前言

应用安全正处于转型期,传统方法面临挑战。Gartner预测,到2026年,70%的平台团队将集成应用安全工具,显著高于2023年的20%。尽管组织采用了应用安全态势管理(ASPM)和分散的安全测试工具,但这常导致工具泛滥、误报增多和修复困难,反而增加了工作量、延缓了开发进度,并加大了风险。

关于OX Security

OX Security 正在将 AppSec 实践与其 Active ASPM 平台统一起来,使用户能够通过在整个软件开发生命周期中提供可见性和可追溯性、上下文优先级以及自动响应来预防风险。该平台使组织能够消除手动实践并接受可扩展的安全开发。 OX Active ASPM旨在帮助应用安全从静态转向主动管理。

产品理念

  • 通过完整的端到端覆盖整个软件开发生命周期来查看一切。
  • 通过适应上下文的优先级来专注于重要的事情,以满足您的业务需求。
  • 通过自动响应和无代码工作流程大规模降低风险。

流程体验

Complete Visibility:将安全无缝嵌入到SDLC中

OX通过source control, CI/CD, registry, and cloud environments的API确保持续的可见性和可追溯性,通过专有的pipeline材料构建(PBOM)进行实时监控,跟踪完整的软件生命周期,确保构建完整性,并从一开始到发布保护生产应用程序。

PBOM

软件供应链 PBOM(管道物料清单)组件提供了从头到尾的整个软件开发管道的图形视图

A:扫描阶段:

Git posture、Code Security、Secret/PII scan、Open source security、SBOM、Infrastructure as code scan、CI/CD posture、Container security、Artifact integrity、Cloud security

B:开发和生产基础设施 C:安全工具 D:覆盖范围

每个扫描阶段安全工具覆盖的应用程序的百分比。

OSC&R coverage

OSC&R(Open Software Supply Chain Attack Reference) 是一个专门针对软件供应链攻击的结构化视图

Contextualized Prioritization:快速解决最关键的风险

OX 通过对所有 AppSec 数据进行规范化、情境化和优先级排序,准确地确定表面之外的威胁的优先级。它可以有效评估漏洞、可利用性、可达性和业务影响,能够通过从同一控制台查看修复代码以及提交PR来快速响应。

Accelerated Response:简化安全流程

借助无代码工作流程,可以通过自动阻止引入管道的漏洞、有风险的代码和配置更改来提高效率、减少手动操作。

See Beyond the Code:缩小安全工具和覆盖范围之间的差距

OX 对开发风险的持续监控可帮助避开 Log4j 和 Codecov 等已知威胁,同时通过独特的研究和威胁情报来防止新兴的攻击类型。借助可定制的仪表板和报告,获得有关安全态势 (SLSA) 的重要见解,确保合规性并防止安全漂移。

流程总结

参考

https://docs.ox.security

0 人点赞