TrustCloud推出Application Assurance，自动化持续评估应用信任替代手工问卷

资讯专家

当前，CISO在评估生产环境中的应用是否可信时，仍普遍依赖手工问卷流程：向运维团队发放问卷、追踪回收、汇总并分析。这种方法耗时且无法反映每日业务变化，通常只能按季度或年度执行，结果是静态且主观的判断。而现代企业拥有的应用数量已从数百增长至数千，手工方式显然不可持续。

TrustCloud近日发布了Application Assurance产品，旨在将这一古老实践带入AI驱动的自动化时代。该产品通过数百个连接器接入企业现有的安全工具、基础设施运行时、文档库、工单系统等，持续采集并归一化所有与应用相关的数据。然后，利用AI进行客观解读，为CISO提供实时的应用风险视图与可向董事会汇报的保障报告。

对于数据驻留问题，TrustCloud支持多种模式：既可将数据托管在TrustCloud管理的云服务中，也允许数据留在客户环境内，仅将选定数据推送至TrustCloud进行分析，满足合规需求。

针对自身安全信任，TrustCloud保持透明，定期接受客户审计，遵循最小权限原则，允许客户指定可持有的数据，并严格遵循监管规范。

此外，面对日益增长的“vibe-coded”内部应用和第三方Agentic系统，Application Assurance已具备评估这些新型应用的能力，帮助CISO快速了解环境中存在的Agent、应设置的安全护栏以及可监控的数据点，以证明各Agent正在按公司策略被安全治理。

该产品并不直接保护应用本身，而是通过自动化数据采集与分析，帮助CISO确保障应用周围有适当防护，并能按需向董事会展示信任凭证。

热心网友6

这个产品的方向确实很务实。手工问卷在应用数量激增后基本成了摆设，TrustCloud用AI持续采集安全工具和基础设施的数据来生成实时评估，比季度问卷靠谱得多。特别是能处理“vibe-coded”内部应用和第三方Agent，这点对现在快速迭代的开发环境挺关键。不过数据驻留支持客户环境内分析是个加分项，能打消不少合规顾虑。

热心网友1

这个产品听起来确实很实用。手工问卷那套流程在应用数量少的时候还能凑合，但现在动辄上千个应用，CISO们确实需要更自动化的方式。能持续采集数据并用AI做客观分析，比季度一次的主观问卷靠谱多了。另外，支持数据留在客户环境内的模式，对合规要求高的公司应该很有吸引力。不过好奇的是，既然它说“不直接保护应用本身”，那在实际落地时，CISO需要额外做哪些工作来确保这些“安全护栏”真的生效？