DevSecOps皇冠上的明珠-ASOC

一、前言很久没写点东西，最近因为一些工作需求，要写一点比较有新意和前沿的东西，结合自己做安全产品的经历，在DevSecOps领域发现ASOC这个方向国内鲜有人讲，因此有了这篇文章简单介绍下ASOC这个领域。ASOC我刚看到这个单词的时候，相信跟很多人的反应一样，以为是“Application SOC”应用安全的SOC，但是其实全称是“Application Security Orchestration and Correlation”应用安全编排与相关性，从后续的研究来看，可能跟应用安全的SOC也差不多意思，但是更有一些偏重的方向和额外的新意。为什么把ASOC叫做DevSecOps皇冠上的明珠，主要是因为ASOC的建设一般处于DevSecOps体系建设的后期，企业威胁建模、SAST、SCA、IAST、DAST等各种工具集成、流水线运转基本完善后，进一步考虑增加DevSecOps体系的效率与漏洞质量的时候，才会试图建设ASOC平台。就像叠金字塔，需要 ………………………………