應(yīng)用程序安全策略:隨著DevOps的崛起,可能需要重新審視
過去六年來,我一直在從事Veracode的項(xiàng)目管理工作。在那段時(shí)間里,我了解到很多部署AppSec策略的不同方法。通常,安全團(tuán)隊(duì)(CISO / CIO領(lǐng)導(dǎo))部署適用于開發(fā)人員和工程師的AppSec策略。然而,隨著軟件開發(fā)和發(fā)布方式的迅速變化,幾年前部署的大多數(shù)安全策略已不再為開發(fā)社區(qū)所接受。當(dāng)我們沒有快速,自動(dòng)化的安全工具可以插入SDLC時(shí),許多應(yīng)用程序安全策略就建立起來了。現(xiàn)在,隨著團(tuán)隊(duì)轉(zhuǎn)移到DevOps和CI / CD,現(xiàn)在比以往任何時(shí)候都更重要的是重新制定新的策略,這些策略與開發(fā)人員“快速獲得良好代碼”目標(biāo)相一致,而不是違反。
基于多年來的工作經(jīng)驗(yàn),我整理了一些在調(diào)整應(yīng)用程序安全策略時(shí)需要考慮的事項(xiàng),具體如下:
首先實(shí)施可實(shí)行的政策
如果首次引入安全性或首次執(zhí)行安全性,那么首先要制定一些可實(shí)現(xiàn)的政策標(biāo)準(zhǔn)。不要讓一個(gè)從未做過安全措施的團(tuán)隊(duì)嘗試滿足PCI或所有OWASP要求;因?yàn)樗麄兛隙o法滿足,并在開始之前放棄。
從一個(gè)簡單的政策開始:沒有高或非常高的關(guān)鍵缺陷。隨著時(shí)間的推移,開發(fā)人員在日常工作中采用安全措施將會變得更加嚴(yán)格。
不僅僅包含不允許的缺陷類型
一定要包含靜態(tài)、動(dòng)態(tài)、組合分析等類型的評估。此外,他們需要多長時(shí)間才能解決找到的問題?根據(jù)缺陷的臨界點(diǎn)增加寬限期,即需要在五天內(nèi)確定非常嚴(yán)重的缺陷;中等嚴(yán)重缺陷需要在15天內(nèi)修復(fù);低臨界缺陷不需要固定期限。
另外,增加頻率和階段的要求。他們多長時(shí)間需要掃描一次,以及在哪個(gè)發(fā)展階段?這與所需的評估類型是一致的。如果要在DevOps中占有一席之地,安全性必須越來越多地向左移動(dòng)。
正確把控你的政策
開發(fā)團(tuán)隊(duì)的發(fā)布速度越來越快,在保證速度同時(shí),還需要保證策略與開發(fā)人員在開發(fā)周期中使用的安全工具及解決方案保持一致。例如:不要求每次發(fā)布或在發(fā)布周期結(jié)束時(shí)進(jìn)行測試。在發(fā)布過程之外,將此類要求更改為季度。在每日發(fā)布周期中包含像靜態(tài)一樣的自動(dòng)化測試。另外,并非所有的應(yīng)用程序都是平等的,所以你需要為不同的應(yīng)用程序創(chuàng)建不同的需求。例如:具有IP的應(yīng)用程序是面向公眾的,具有第三方組件可能需要修復(fù)所有中等到非常嚴(yán)重的缺陷,單頁臨時(shí)營銷網(wǎng)站可能只需要修復(fù)高/非常高的缺陷。
治理
擁有應(yīng)用程序安全策略絕對是最佳做法,但如果沒有治理,它也是無用的。要保證跟蹤政策依從性(現(xiàn)在許多工具都內(nèi)置了可以報(bào)告的策略管理器)是安全的。
此外,如果政策一直失敗,安全需要與發(fā)展合作,并進(jìn)行團(tuán)隊(duì)培訓(xùn),如:由講師指導(dǎo)的培訓(xùn),研討會,網(wǎng)絡(luò)研討會,電子教學(xué),捕捉旗幟活動(dòng)。
關(guān)鍵要點(diǎn)
•開發(fā)環(huán)境正在發(fā)生變化,確保您的安全策略與他們一起工作,而不是針對他們。
•安全策略需要成為“不判斷區(qū)”。使用它們來幫助教育開發(fā)團(tuán)隊(duì),了解他們正在努力的方向而不是批評他們的失敗。
•不要嚴(yán)格。首先制定策略,然后提升團(tuán)隊(duì)成員構(gòu)建安全代碼的negligence,并隨著時(shí)間的推移提供相應(yīng)的培訓(xùn),從而讓他們的能力變得更強(qiáng)。
責(zé)任編輯:任我行
-
碳中和戰(zhàn)略|趙英民副部長致辭全文
2020-10-19碳中和,碳排放,趙英民 -
兩部門:推廣不停電作業(yè)技術(shù) 減少停電時(shí)間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
國家發(fā)改委、國家能源局:推廣不停電作業(yè)技術(shù) 減少停電時(shí)間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè)
-
碳中和戰(zhàn)略|趙英民副部長致辭全文
2020-10-19碳中和,碳排放,趙英民 -
深度報(bào)告 | 基于分類監(jiān)管與當(dāng)量協(xié)同的碳市場框架設(shè)計(jì)方案
2020-07-21碳市場,碳排放,碳交易 -
碳市場讓重慶能源轉(zhuǎn)型與經(jīng)濟(jì)發(fā)展并進(jìn)
2020-07-21碳市場,碳排放,重慶
-
兩部門:推廣不停電作業(yè)技術(shù) 減少停電時(shí)間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
國家發(fā)改委、國家能源局:推廣不停電作業(yè)技術(shù) 減少停電時(shí)間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
2020年二季度福建省統(tǒng)調(diào)燃煤電廠節(jié)能減排信息披露
2020-07-21火電環(huán)保,燃煤電廠,超低排放
-
四川“專線供電”身陷違法困境
2019-12-16專線供電 -
我國能源替代規(guī)范法律問題研究(上)
2019-10-31能源替代規(guī)范法律 -
區(qū)域鏈結(jié)構(gòu)對于數(shù)據(jù)中心有什么影響?這個(gè)影響是好是壞呢!