在過去十多年,應用程式保安團隊一直面臨檢測工具越先進,其結果似乎越不實用的矛盾。根據 OX Security 的《2025 年應用程式保安基準報告》,令人震驚的是,95-98%的應用程式保安警報並不需要採取行動,而且這些警報可能對組織的傷害大於幫助。
報告分析了 178 個組織的超過 1.01 億條安全警報,OX Security 的研究發現,在每個組織平均 57 萬條警報中,僅有 202 個顯示了真正的問題。這意味著安全團隊正浪費時間和資源,同時損害與開發人員的關係,阻礙實際創新。網絡彈性專家 Chris Hughes 表示:「我們這樣做的同時偽裝成業務推動者,積極地讓同事陷入繁瑣工作,延遲開發速度,並最終阻礙業務成果。」
這現象可追溯到 2015 年,當時應用程式保安挑戰相對簡單,僅公開披露了 6,494 個 CVE。檢測是關注重點,工具的衡量標準是發現問題的數量,而非問題的重要性。時至 2025 年,情況已經徹底改變:應用程式轉向雲原生,開發週期加速,攻擊面擴大。僅在過去一年,就發布了超過 4 萬個新 CVE,使全球總數超過 20 萬。然而,許多應用程式保安工具未能相應進化,在不提供背景資料下發出警報。
OX 的基準證實了從業者長期以來的懷疑:32%的報告問題被利用的可能性低;25%沒有已知的公開漏洞利用;25%源自未使用或僅用於開發的依賴項。雖然大多數警報可以被忽略,但準確識別需要立即關注的 2-5%至關重要,這些通常涉及 KEV 問題、機密管理問題及姿態管理問題。
證據為本的防範意識
為了打破這種惡性循環,企業必須採用更富有成效的應用程式保安方法,基於證據為本的優先排序。這需要從通用警報處理轉向全面模型,涵蓋從設計階段到運行時的代碼,並考慮多個關鍵因素:可達性(易受攻擊的代碼是否被使用且可達)、可利用性(環境中是否存在被利用的條件)、業務影響(漏洞是否會造成實際損害)以及雲到代碼映射(問題在 SDLC 的哪個環境中產生)。
透過實施這樣的框架,企業可以有效過濾噪音,將精力集中在構成真正威脅的少量警報上。OX Security 正透過代碼投影(Code Projection)技術解決這一挑戰,將雲和運行時元素映射回代碼來源,實現背景資料理解和動態風險優先級排序。
數據顯示,使用基於證據的優先級排序,每個組織的平均 569,354 條總警報可減少至 11,836 條,其中只有 202 條需要立即行動。行業基準還揭示了其他關鍵見解:不同環境的基線噪音水平保持相似;企業環境面臨更大的安全複雜性挑戰;金融機構經歷明顯更高的警報量,這與它們處理金融交易和敏感數據的高價值目標地位有關。
企業可以建立基於風險的漏洞管理框架,投資能提供背景資料的工具,而不僅是識別問題;促進開發、安全和業務團隊之間的合作,以更好地理解真正的業務風險;改變評估指標,從警報數量轉向關注已解決的實際風險減少。
減少誤報才可真正解決問題
如果 95%以上的應用程式保安修復對組織並非關鍵,那麼企業在分類、編程和網絡安全時間方面投入了大量無效資源。這種浪費擴展到漏洞賞金計劃的支付,以及修復未早期發現並進入生產的漏洞的複雜修復成本。最後,開發團隊和安全團隊之間因無關緊要的漏洞修復要求而產生的緊張關係也是一項顯著成本。
隨著企業僅在 2025 年就面臨預計 5 萬個新漏洞,有效安全分類的重要性從未如此之高。「檢測一切,稍後修復」的舊模式不僅過時,而且危險。
OX Security 的報告明確指出:應用程式保安的未來不在於解決每一個可能的漏洞,而在於智能地識別並專注於構成真正風險的問題。採用以證據為基礎的優先級排序方法,企業可以顯著提高安全效能,同時減少浪費和團隊摩擦。隨著漏洞數量的持續增長,區分真正威脅與背景噪音的能力將成為成功安全策略的核心。
安全領導者需要勇於質疑傳統的「檢測優先」思維,擁抱更加智能且背景資料感知的安全方法。如此一來,企業才能在加快創新步伐的同時,真正有效地管理應用程式保安風險。
