應用程序安全（簡稱 AppSec）包括向開發團隊引入安全軟件開發生命周期的所有任務。 它的最終目標是改進安全實踐，并通過它來查找、修復并xxx防止應用程序中的安全問題。 它涵蓋了從需求分析、設計、實施、驗證到維護的整個應用程序生命周期。

不同的方法會發現潛伏在應用程序中的安全漏洞的不同子集，并且在軟件生命周期的不同時間最為有效。 它們各自代表了時間、精力、成本和發現的漏洞的不同權衡。

• 設計審查。 在編寫代碼之前，可以檢查應用程序的體系結構和設計是否存在安全問題。 此階段的一項常用技術是創建威脅模型。
• 白盒安全審查或代碼審查。 這是一名安全工程師通過手動審查源代碼并注意到安全漏洞來深入了解應用程序。 通過對應用程序的理解，可以找到應用程序特有的漏洞。
• 黑盒安全審計。 這只是通過使用應用程序測試它的安全漏洞，不需要源代碼。
• 自動化工具。 許多安全工具可以通過包含在開發或測試環境中來實現自動化。 這些示例包括集成到代碼編輯器或 CI/CD 平臺中的自動化 DAST/SAST 工具。
• 協調漏洞平臺。 這些是由許多網站和軟件開發人員提供的黑客支持的應用程序安全解決方案，個人可以通過這些解決方案報告錯誤而獲得認可和補償。

Web 應用程序安全是信息安全的一個分支，專門處理網站、Web 應用程序和 Web 服務的安全性。 在高層次上，Web 應用程序安全性借鑒了應用程序安全性原則，但將它們專門應用于 Internet 和 Web 系統。

Web 應用程序安全工具是專門用于處理 HTTP 流量的工具，例如 Web 應用程序防火墻。

開放 Web 應用程序安全項目 (OWASP) 提供免費和開放的資源。 它由名為 The OWASP Foundation 的非營利組織領導。 OWASP Top 10 - 2017 來自最近的研究，該研究基于 40 多個合作伙伴組織收集的綜合數據。 該數據揭示了 50,000 多個應用程序中的大約 230 萬個漏洞。 根據 OWASP Top 10 - 2021，十大最關鍵的 Web 應用程序安全風險包括：

• 損壞的訪問控制
• 加密失敗
• 注射
• 不安全的設計
• 安全配置錯誤
• 易受攻擊和過時的組件
• 身份驗證失敗
• 軟件和數據完整性故障
• 安全記錄和監控失敗*
• 服務器端請求偽造 (SSRF)*

安全測試技術會搜索應用程序中的漏洞或安全漏洞。 這些漏洞使應用程序容易被利用。 理想情況下，在整個軟件開發生命周期 (SDLC) 中實施安全測試，以便及時徹底地解決漏洞。

有多種自動化工具可用于識別應用程序中的漏洞。 用于識別應用程序漏洞的常用工具類別包括：

• 靜態應用程序安全測試 (SAST) 在應用程序開發過程中分析源代碼是否存在安全漏洞。 與 DAST 相比，SAST 甚至可以在應用程序處于可執行狀態之前使用。 由于 SAST 可以訪問完整的源代碼，因此它是一種白盒方法。 這可以產生更詳細的結果，但可能會導致許多需要手動驗證的誤報。
• 動態應用程序安全測試（DAST，通常稱為漏洞掃描器）通過抓取和分析網站自動檢測漏洞。 這種方法具有高度可擴展性、易于集成和快速。 DAST 工具非常適合處理注入缺陷等低級攻擊，但不太適合檢測高級缺陷，例如邏輯或業務邏輯缺陷。 模糊測試工具通常用于輸入測試。
• 交互式應用程序安全測試 (IAST) 使用軟件工具從內部評估應用程序。 這結合了 SAST 和 DAST 方法的優勢，并提供對代碼、HTTP 流量、庫信息、后端連接和配置信息的訪問。