在應用程序上線后僅僅掃描其安全漏洞是遠遠不夠的。安全的左移方法應該在DevOps團隊開始開發應用和配置基礎設施的時候就啟動,這樣就可以在漏洞影響范圍更廣和修復成本更昂貴之前解決它們。這就是DevSecOps的核心原則。
通過安全左移,企業可以在用戶受到影響之前識別錯誤配置和其他安全風險。云計算在實現DevOps方面發揮了很大作用,因此保護云環境和工作負載可以捍衛CI/CD流水線的安全,最終保護客戶的安全。
以下是DevOps團隊在進行安全左移時應該考慮的5個重要安全任務:
1、與安全團隊協作。安全左移是一個重大改變。除了設置合理的流程以及使用合適的工具之外,企業必須重新思考他們的運作方式,在CI/CD流水線中更早地引入軟件測試流程、工具以及相關專業知識。DevSecOps并不是簡單地將安全責任塞給開發人員,而是改變角色和期望,并結合使用合適的工具,實現安全和開發的平衡。安全從開發周期的開始就應該擁有比較高的優先級,而不是在SDLC后期才開始重視。
2、實現頻繁的自動化測試。安全左移需要盡早且頻繁地測試,通過自動化的代碼測試,開發人員在工作時就會收到安全問題的提醒,這樣他們能夠在軟件進入生產環境前糾正問題。掃描漏洞的自動化工具可以降低人工測試中可能出現的人為錯誤的機會,并擴大了覆蓋范圍,以檢查更多的軟件。代碼在開發過程中的每個階段都會被掃描,因此到SDLC后期不會積壓大量待審查的代碼。
安全左移的策略需要將一個或多個工具集成到CI/CD流水線中以尋找已知的漏洞以及識別其他安全問題。通常會使用的工具類型包括靜態應用安全測試(SAST)、動態應用安全測試(DAST)、交互式應用安全測試(IAST),密鑰檢測和軟件成分分析(SCA)。當然,在決定將哪些新工具引入你的流程之前,你應該首先評估你現有的工具。
3、在流程中進行滲透測試。雖然自動化測試是DevSecOps的必備條件,但僅靠自動化仍然可能存在無法發現的潛在問題。例如滲透測試等手動安全評估可以通過模擬網絡攻擊來檢查應用程序的安全性。這類額外的測試可以將安全風險降到最低并且可能捕捉到自動化測試無法檢測到的問題。
在進入生產環境之前,請一位安全工程師來幫助你審查軟件并進行滲透測試以確保所有潛在的問題都已經得到緩解。與其在被攻擊者利用之后才知道漏洞的存在,不如直接覆蓋所有的基礎代碼并對其進行額外的測試。
4、保證你的軟件是最新的。始終采用最新版本的軟件是網絡安全的核心。開發人員必須確保他們所使用的軟件(操作系統、應用程序框架以及第三方庫等)保持在最新版本,這意味著安全補丁也處于最新狀態。無論是來自供應商還是開源社區的軟件,下載軟件更新是保護軟件安全的重要步驟。
5、尋找安全培訓的機會。開發人員并非安全專家,但他們在安全應用程序的生產中具有關鍵作用,因此開發人員也應該了解安全編碼和測試的基本知識。隨著對軟件需求的攀升,開發人員應該考慮根據他們的具體角色和需求進行安全培訓。適當的培訓和支持可以為你提供所需的背景信息,以產生即實用又安全的代碼。
談及軟件安全,沒有任何靈丹妙藥可以完全確保你的代碼永遠安全無虞。通過采用這些實踐,您能夠發現更多漏洞并且在代碼部署前就打上補丁。
