千篇一律避免死亡，使用自动化内容安全策略

很少有开发人员或AppSec专业人士声称喜欢部署CSP。首先，CSP必须适用于特定的web应用程序。然后团队需要确保提供适当级别的保护。CSP也不能与任何现有的小部件或插件冲突（或者必须决定不部署CSP或停用这些插件，这可能会在其他领域造成问题，例如客户参与、营销和销售）。

然后，当顾客服务提供商失败时，就会有可怕的审计来确定原因和地点。

CSP审计避免问题（也称为避免手动代码审查或一千个脚本的死亡）相当常见。如今，客户端web应用程序包含数千个脚本，这些脚本来自多个开源库或其他第三方和第四方存储库。很少有开发或安全团队会花时间维护web应用程序组装中使用的所有脚本的详细记录，包括它们的功能、来源，以及它们是否已被更新或修补以解决任何已知的安全问题。

即使团队确定了所有第三方脚本源，也不能保证脚本是安全的。包管理器仍然存在一些问题，其中包含用于从网站和web应用程序中获取敏感信息的模糊和恶意JavaScript。在最近的一个例子中，研究人员发现，毫无戒心的开发人员已经下载了27000次恶意软件包。

不幸的是，CSP审计避免问题扩大了已经很重要的客户端攻击面。

自动内容安全策略有助于管理CSP，以更好地保护客户端攻击面，并消除与手动CSP监督相关的风险。通过识别所有第一方和第三方脚本、数字资产以及这些资产访问的数据，企业可以简化CSP的创建和管理过程，并提高总体客户端安全性。自动化CSP在域级别进行管理，以实现更好的报告和版本控制。

自动CSP通过对网站或web应用程序进行爬行，并启动合成用户来评估脚本在web应用程序上的操作方式以及脚本可能访问的数据类型。然后，系统生成CSP，使其与网站或web应用程序的安全需求保持一致。自动化CSP还可以在实际生产环境中工作，以模拟用于快速测试的策略（并避免在开发环境中持续部署CSP），并将重点放在使策略冲突尽可能接近零。

自动CSP的其他功能包括在检测到违规后创建新策略，以实现快速更新和解决当前安全威胁，并将日志数据摄取到安全事件和事件管理（SIEM）和其他基于日志的数据收集系统中，以集成到当前的安全实践和工作流中。

通过完全集成违规报告，自动化CSP解决方案补充了当前的安全流程和工作流。它还为PCI DSS 4.0、HIPAA等监管和合规标准提供关键支持。

Feroot Security提供DomainGuard，这是一种专门构建的自动化CSP，通过简化内容安全策略管理过程，帮助组织管理其客户端攻击面。DomainGuard将违规报告与现有安全工具集成，以补充当前的安全流程和工作流，并显著减少跨团队、网站和web应用程序创建和管理CSP所需的时间。