对于任何开发软件的公司来说,安全开发都是至关重要的,无论是供自己使用还是供他人使用。DevSecOps原则侧重于自动化信息安全流程并在软件开发早期引入安全措施。DevSecOps 如今极其重要,因为根据最近的调查,超过 99% 的技术专业人士报告称,生产中的应用程序平均包含四个以上的漏洞。
Ponemon Institute 和 Rezilion 开展的一项研究表明,78% 的受访者需要三周以上的时间来解决系统中的高风险漏洞。此外,30% 的人表示,有效管理这些漏洞需要五周以上的时间。应用程序漏洞现在是勒索软件攻击的主要切入点,76% 的 CIO 报告称,在过去 24 个月内至少经历过一次勒索软件攻击。
但这些漏洞源自何处?首先,它们通常源于开发实践,例如使用不安全的编程结构或第三方组件,通常是开源框架和库。开发人员还可能插入快捷方式来加速开发过程。其次,时间限制可能导致粗略的代码审查,这些审查更注重功能而不是全面的、包含安全性的质量分析。最后,过时(遗留)软件的广泛使用(这些软件以其漏洞而闻名,并且通常很难或无法更新)加剧了这一问题。
安全软件开发的主要阶段
使用 DevSecOps 有助于确保在软件的开发阶段和整个生命周期内都保持适当的安全级别。此方法还专注于识别和管理风险。通过实施安全的开发流程,漏洞通常可以减少 80%。让我们通过安全开发生命周期 (SDL) 方法探索此流程的最重要阶段,该方法已被全球许多大公司广泛采用。
训练
参与软件开发的每个人,包括所有员工、承包商和其他相关人员,都接受了网络安全基础知识培训,并定期接受安全开发实践和人工智能在软件测试中的应用指导。
要求
每种软件产品的开发都始于明确定义其安全和隐私要求。这些要求由各种因素决定,例如产品将处理的数据类型、已知的安全威胁、既定的最佳实践、监管和行业标准以及从过去事件中吸取的教训。由于软件开发是一个持续的过程,安全和隐私要求会在整个产品生命周期中不断发展,以适应功能的变化和不断变化的威胁形势。
设计
在此阶段,威胁模型的开发旨在帮助根据现有和潜在风险识别和分类威胁。此过程首先概述产品的不同组件以及它们在不同功能场景(例如身份验证)中的交互方式。数据流图用于直观地表示数据流、数据类型、协议等的交互。在整个产品生命周期中,保持威胁模型的更新非常重要,并随着软件的发展对其进行调整。
执行
实施从开发人员根据早期阶段制定的计划进行编码开始。最好为开发人员配备安全的开发工具,以便将所有隐私、安全和功能要求纳入他们的软件中。这些工具可能包括安全开发环境、编译器和集成安全检查。
确认
在代码发布之前,需要经过彻底的检查和批准。手动审查由独立于代码开发人员的人员进行,确保职责分离,防止任何个人编写和发布代码。该步骤还包括提交管道内的一系列自动检查,涵盖静态和动态代码分析、二进制分析、凭证和秘密扫描、加密扫描、配置验证以及开源软件合规性等方面。
发布
在将软件投入产品之前,会进行全面审查,以验证所实施的安全功能是否符合设计阶段设定的初始规范。此外,还会制定应急计划以应对潜在的安全系统漏洞。我们不会同时向所有用户部署版本,而是逐步向更大的群体推广。
回复
发布后,所有软件和服务都会经过全面的日志记录和监控,以查明潜在的安全问题。
主要的 DevSecOps 工具
让我们探索 DevSecOps 必备的工具,将安全原则融入软件开发过程的每个阶段。
静态应用安全测试 (SAST)
静态分析是在“白盒”设置下执行的,无需运行实际代码即可检测漏洞。这种方法在开发的早期阶段最有效,因为它直接检查源代码,提供了将分析器集成到开发流程中进行增量扫描的机会。然而,它也有缺点,例如误报率很高。
实现静态代码分析器与Shift Left 概念非常契合,该概念强调在产品开发生命周期中尽早引入检查,而不是在最后阶段。这种早期集成显著影响了修复检测到的缺陷的成本。例如,虽然修复在开发阶段发现的漏洞可能需要花费 X 美元,但在项目发布阶段解决这些问题可能会增加到 10X 美元,而在系统完全投入运行后修复这些问题可能会飙升至 100X 美元。
动态应用安全测试 (DAST)
动态代码分析在“黑盒”场景中运行,其中工具无法访问源代码并在程序运行时进行测试。DAST 可以使用常见方法模拟外部攻击来查找应用程序中的漏洞。DAST 工具不受编程语言的限制,通常误报较少。然而,它们的缺点包括可能忽略漏洞并错过某些功能,因为 DAST 不能完全覆盖所分析的代码。
交互式应用安全测试 (IAST)
IAST 结合了 SAST 和 DAST 的元素,提供了一种更加集成、更具交互性的漏洞检测方法。
IAST 和 DAST 都会分析实时应用程序以查找漏洞。DAST 像攻击者一样测试应用程序的接口(从外部角度),通过响应分析识别漏洞。但是,IAST 也从内部进行操作,将应用程序内部代码和数据流的洞察与执行期间对其动态行为的观察相结合。这种独特的地位使 IAST 能够发现更广泛的问题,将代码分析的深度(类似于 SAST)与正在运行的应用程序的实际检查(类似于 DAST)相结合。因此,IAST 实现了更高的准确性和更少的误报,可以精确定位仅通过应用程序的操作环境出现的漏洞。
软件组成分析(SCA)
SCA 会仔细检查软件项目中的开源组件和库。SCA 会根据已知安全威胁和合规性数据的综合数据库检查代码库,从而识别已知漏洞、许可问题和过时的依赖项。通过将SCA 集成到 DevSecOps 管道中,团队可以确保专有代码和开源代码都符合安全标准和合规性要求。
其他工具和技术
上述工具构成了确保发布安全应用程序所需的最低限度的集合。为了最大限度地提高您的安全工作效率,使用可以支持和增强安全开发过程的其他技术和工具也是不错的选择。以下是其中一些:
基础设施即代码 (IaC) 扫描
随着云计算和基础设施即代码的兴起,在开发过程中扫描这些配置以查找合规性和安全性问题变得至关重要。
容器安全扫描
分析容器镜像中的漏洞和配置问题。
机密管理
确保密码、令牌和密钥等机密信息得到安全管理和访问对于在开发过程中保护对应用程序、数据库和服务的访问至关重要。
访问和身份管理 (IAM)
虽然并非开发阶段所独有,但设置适当的 IAM控制可确保只有授权人员才能访问开发环境和资源。它可以通过特权访问管理 (PAM) 解决方案进行补充。
实际上,还有更多策略可以确保安全的应用程序发布。例如,使用 Web 应用程序防火墙 (WAF) 有助于通过过滤和监控 Web 应用程序与互联网之间的流量来保护 Web 应用程序。网络检测和响应 ( NDR ) 工具可以检测和响应网络威胁,而虚拟专用网络 (VPN) 可以创建安全的互联网连接。在这篇简短的文章中不可能列出所有选项。选择正确的安全措施取决于您的可用资源,包括预算、专业知识和技术能力。
工具集成和工作流程优化
DevSecOps 的主要目标之一是使安全性成为开发过程的无缝组成部分,确保安全措施不会妨碍而是提高开发效率。以下是实现这一目标的一些专家提示:
文化与培训
DevSecOps 不仅涉及工具和流程,还涉及文化转型。在深入技术集成之前,请确保您的团队的思维方式符合 DevSecOps 原则。低估文化方面(例如抵制变革、害怕工作量增加或误解安全的价值)可能会阻碍采用。您可以通过强调 DevSecOps 的好处、庆祝成功以及促进学习和持续改进的文化来应对这些挑战。
开发人员应熟悉所用安全工具的细微差别以及如何解释其输出。应定期提供培训和资源,使开发人员掌握解决安全问题的知识,从而培养积极主动的安全文化。
DevSecOps 的关键在于打破开发、运营和安全团队之间的隔阂。鼓励定期开会、开展联合项目和共享目标,以建立专注于安全开发实践的有凝聚力的团队。
使用的工具
选择符合您需求并能与现有开发和运营基础设施顺利集成的安全工具。选择那些提供强大 API、CLI 支持和与您的CI/CD 管道兼容性的工具,因为这些功能对于无缝集成至关重要。
虽然可用的安全工具种类繁多,但请避免同时部署它们。这种方法可能会导致大量的警报和许多误报,从而使您的工作流程变得混乱。相反,请从战略性地选择高影响力的工具开始,并调整设置以最大限度地减少不必要的噪音。
在您的安全策略中优先考虑自动化:在您的 CI/CD 管道中自动执行 SAST、DAST 和 IAST 等安全扫描。此自动化可确保在每个代码开发和部署阶段进行一致的安全检查,从而显著减少人工干预并加快开发周期。
持续改进 DevSecOps
DevSecOps 是一段旅程,而不是目的地。定期检查工具集成和工作流程的有效性。收集所有利益相关者的反馈,并定义衡量 DevSecOps 实践有效性的指标,例如发现和修复的漏洞数量、修复关键问题所需的时间以及零日攻击和其他安全事件的频率。使用这些指标来证明 DevSecOps 的价值,并准备调整工具、流程和培训以进行改进。
结论
统计数据令人震惊:大多数应用程序都存在漏洞,修复这些漏洞可能需要数周甚至数月的时间,这清楚地表明传统方法是不够的。面对不断变化的威胁形势,实施 DevSecOps 实践是必不可少的,而不仅仅是建议。采用正确的工具、实践组合和左移思维可以显著降低漏洞风险。
评论