想在自己公司建立 DevSecOps 計(jì)劃疯特?沒(méi)問(wèn)題,企業(yè)規(guī)模無(wú)論大小肛走,都可輕松實(shí)現(xiàn)漓雅。這里有5個(gè)基本的 DevSecOps 原則可以幫助你啟動(dòng)。當(dāng)然朽色,如果你對(duì) DevSecOps 還不太熟悉邻吞,不妨先看看第一篇文章《什么是 DevSecOps?系列(一)》葫男。
以客戶為中心
以客戶為中心抱冷,可以協(xié)調(diào)業(yè)務(wù)與安全之間的關(guān)系,從而確保制定準(zhǔn)確梢褐、完備的安全策略旺遮,并讓企業(yè)的所有成員都能夠支持和實(shí)施。但是盈咳,要把安全和業(yè)務(wù)產(chǎn)出結(jié)合起來(lái)耿眉,有時(shí)其困難程度猶如要把油和醋混合起來(lái)。安全專家使勁了渾身解數(shù)力圖攻破軟件鱼响,往往還是很難將這些安全信息和客戶以及最終的業(yè)務(wù)產(chǎn)出關(guān)聯(lián)起來(lái)鸣剪。
實(shí)際上,安全的復(fù)雜性丈积,以及安全專家和業(yè)務(wù)專家在工作重心方面存在的巨大差異筐骇,會(huì)導(dǎo)致決策出現(xiàn)重大分歧。安全專家考慮的是如何保護(hù)企業(yè)資產(chǎn)的安全桶癣,而業(yè)務(wù)專家關(guān)注的是如何冒險(xiǎn)滿足客戶的需求以增加收入拥褂。這些原則性的差異會(huì)導(dǎo)致雙方產(chǎn)生極大的摩擦。
拋開(kāi)這些分歧牙寞,秉持以客戶為中心的理念饺鹃,可以促使安全專家采取更好的安全策略莫秆,同時(shí)也可以減少?gòu)?fù)雜性造成的風(fēng)險(xiǎn)控制障礙。此外悔详,安全計(jì)劃及產(chǎn)出可以適應(yīng)客戶需求和業(yè)務(wù)產(chǎn)出镊屎,其中的復(fù)雜性也可以通過(guò)自動(dòng)化和報(bào)告進(jìn)行展示。
最終茄螃,支持業(yè)務(wù)產(chǎn)出的必要控制應(yīng)當(dāng)簡(jiǎn)單易懂缝驳,讓安全實(shí)現(xiàn)成為人人都可以做的事情。
擴(kuò)展归苍,擴(kuò)展用狱,擴(kuò)展
除了以客戶為中心,安全擴(kuò)展也是必要的拼弃。如果客戶需要快速創(chuàng)新業(yè)務(wù)來(lái)解決問(wèn)題夏伊,而安全專家只考慮自己的安全防護(hù)功能,這么做顯然不恰當(dāng)吻氧。相反地溺忧,他們應(yīng)當(dāng)帶領(lǐng)安全團(tuán)隊(duì)創(chuàng)建相同的工作模式和條件,使安全方案在支持 DevOps 和持續(xù)創(chuàng)新之余還要與業(yè)務(wù)產(chǎn)出相協(xié)調(diào)盯孙。隨著連續(xù)部署鲁森、精益創(chuàng)業(yè)、敏捷型振惰、DevOps 和其他創(chuàng)新驅(qū)動(dòng)法成為常態(tài)歌溉,安全的進(jìn)一步發(fā)展也迫在眉睫。
毋庸置疑骑晶,安全專家必須具備精益生產(chǎn)的意識(shí)研底,通過(guò)要求軟件定義平臺(tái)幫助收集、解釋和報(bào)告有關(guān)業(yè)務(wù)資源與環(huán)境的安全分析透罢。
實(shí)現(xiàn)安全擴(kuò)展,其實(shí)就是通過(guò)減少人工處理量以及實(shí)現(xiàn)低風(fēng)險(xiǎn)產(chǎn)出需耗費(fèi)的時(shí)間量冠蒋,達(dá)到解決問(wèn)題的目的羽圃。但是,對(duì)于安全專家而言抖剿,要使安全策略透明化朽寞、簡(jiǎn)單化,以便所有人都能夠參與實(shí)施斩郎,這并不是件容易的事情脑融。不過(guò),努力之下缩宜,他們還是有可能改進(jìn)和發(fā)展自動(dòng)化肘迎,允許通過(guò)可以擴(kuò)展安全的自助服務(wù)進(jìn)行風(fēng)險(xiǎn)決策甥温。
「以安全為準(zhǔn)則」具有可遷移、共享和完善等附加優(yōu)勢(shì)妓布,因?yàn)樗皇且粋€(gè)讀取一次就被擱置和遺忘的文件姻蚓,而是支持業(yè)務(wù)產(chǎn)出的整個(gè)系統(tǒng)的有機(jī)組成部分。
客觀標(biāo)準(zhǔn)
你是否曾有過(guò)這樣的經(jīng)歷:安全報(bào)告里有成千上萬(wàn)條發(fā)現(xiàn)匣沼,有的甚至還看不明白狰挡,自己卻要根據(jù)這個(gè)報(bào)告快速做出決策。我想任何人收到這樣混亂不堪的安全報(bào)告释涛,都會(huì)覺(jué)得頭痛加叁。實(shí)際上,為快速?zèng)Q策提供安全信息正在成為一門(mén)藝術(shù)唇撬,而且通過(guò)引入客觀的標(biāo)準(zhǔn)和成熟的方法它匕,該藝術(shù)形式得到了極大的改善。
客觀標(biāo)準(zhǔn)可以幫助業(yè)務(wù)專家明白要在什么時(shí)候局荚、以什么樣的方式和順序改善業(yè)務(wù)資源的安全情況超凳。實(shí)際上我們可以認(rèn)為,安全專家的唯一目標(biāo)就是為業(yè)務(wù)伙伴提供可行的修復(fù)建議耀态。建立客觀標(biāo)準(zhǔn)來(lái)衡量企業(yè)資產(chǎn)安全無(wú)疑是最理想的方式轮傍,可以滿足業(yè)務(wù)伙伴為了快速做出決策對(duì)可行性建議的需求。
有時(shí)首装,相比于策略创夜,客觀標(biāo)準(zhǔn)更為重要,因?yàn)樗艽龠M(jìn)企業(yè)內(nèi)形成成熟的控制機(jī)制仙逻,使風(fēng)險(xiǎn)決策有據(jù)可依驰吓。
創(chuàng)建安全記分卡是制定 DevSecOps 計(jì)劃的基本要素,因?yàn)樗粌H可以為業(yè)務(wù)伙伴提供指導(dǎo)系奉,而且還可以為持續(xù)監(jiān)測(cè)企業(yè)資產(chǎn)安全的安全團(tuán)隊(duì)提供方向檬贰。根據(jù)對(duì)象的不同,記分卡可以通過(guò)檢測(cè)儀器和記錄結(jié)果為決策行為創(chuàng)設(shè)情景缺亮。
舉個(gè)例子翁涤,如果面向的對(duì)象是開(kāi)發(fā)部,使用的度量指標(biāo)和提供的報(bào)告可能更傾向于開(kāi)發(fā)方面萌踱,比如每行代碼中存在的安全漏洞數(shù)量葵礼。反之,要是面向運(yùn)營(yíng)部并鸵,使用的度量指標(biāo)可以是基礎(chǔ)設(shè)施和配置方面存在的缺陷和漏洞鸳粉。不過(guò)整體而言,只要?jiǎng)?chuàng)建記分卡便有助于各個(gè)團(tuán)隊(duì)排除干擾和分歧并做出快速园担、精準(zhǔn)的決策届谈。
主動(dòng)搜尋
想象一下枯夜,如果你的公司能夠先于攻擊者發(fā)現(xiàn)安全漏洞并在遭受攻擊前將其修復(fù),可以免掉多少損失疼约?主動(dòng)搜尋并測(cè)試業(yè)務(wù)資源的安全性卤档,有助于及時(shí)發(fā)現(xiàn)可能會(huì)被對(duì)手輕易利用的弱點(diǎn)和缺陷。采取主動(dòng)策略保護(hù)業(yè)務(wù)資源的安全程剥,也有助于更好地衡量與擴(kuò)展劝枣,因?yàn)樵跇I(yè)務(wù)受損前發(fā)現(xiàn)重要的攻擊面需要自動(dòng)化和大量的數(shù)據(jù)。
但是织鲸,僅憑一個(gè)好的事件響應(yīng)進(jìn)程來(lái)實(shí)現(xiàn)這個(gè)需求是不夠的舔腾,因?yàn)樵谕獠堪l(fā)起嘗試性攻擊時(shí)才發(fā)現(xiàn)漏洞,已經(jīng)為時(shí)太晚搂擦。
建立主動(dòng)搜尋的最佳方式是實(shí)現(xiàn)構(gòu)建自動(dòng)化稳诚,利用自己的信息確定安全缺陷,防止漏洞成為攻擊目標(biāo)瀑踢。另外扳还,這類功能還可以利用攻擊者目前最常使用的被動(dòng)輸入來(lái)加強(qiáng)自身的防御策略。從根本上來(lái)說(shuō)橱夭,這類功能不僅可以鞏固公司技術(shù)環(huán)境方面的偵察氨距,而且它還允許內(nèi)聯(lián)測(cè)試與開(kāi)發(fā),可以在整個(gè)業(yè)務(wù)產(chǎn)出的支持系統(tǒng)中優(yōu)先執(zhí)行修復(fù)措施棘劣。
換句話說(shuō)俏让,加強(qiáng)內(nèi)部的安全測(cè)試,主動(dòng)搜尋安全漏洞茬暇,對(duì)企業(yè)很有幫助首昔,因?yàn)樾迯?fù)建議可立即執(zhí)行,而且還實(shí)現(xiàn)了與業(yè)務(wù)流程的整合糙俗。
持續(xù)檢測(cè)與響應(yīng)
最后勒奇,除了牢記以上四個(gè)原則,還要確保有連續(xù)檢測(cè)和響應(yīng)來(lái)完成信息發(fā)現(xiàn)和實(shí)時(shí)攻擊檢測(cè)巧骚。由于監(jiān)管流程和基于紙質(zhì)的控制缺少攻擊分析撬陵,DevSecOps 需要持續(xù)檢測(cè)、對(duì)照网缝、關(guān)聯(lián)和響應(yīng)來(lái)彌補(bǔ)該欠缺。
簡(jiǎn)而言之蟋定,持續(xù)檢測(cè)和響應(yīng)至關(guān)重要粉臊,因?yàn)樗ㄟ^(guò)監(jiān)測(cè)和分析外部對(duì)公司目標(biāo)發(fā)起的嘗試性攻擊,可以迅速擊退事件驶兜。
這似乎和近十年來(lái)所講的檢測(cè)和響應(yīng)沒(méi)什么區(qū)別扼仲,但實(shí)際并非如此远寸。雖然大多數(shù)公司已有檢測(cè)和響應(yīng)實(shí)踐,但是 DevSecOps 需要更連續(xù)的方式來(lái)為自動(dòng)化進(jìn)程提供反饋屠凶,從而加快內(nèi)部團(tuán)隊(duì)獲知外部發(fā)現(xiàn)和攻擊企圖的速度驰后。
更重要的是,安全科學(xué)的實(shí)現(xiàn)意味著企業(yè)可以使用實(shí)時(shí)信息識(shí)別各類異常事件并做出響應(yīng)矗愧,以用于支持業(yè)務(wù)產(chǎn)出所需的決策和防御控制預(yù)測(cè)灶芝。
本文由 DevSecOps.org 首發(fā),系 OneASP 工程師翻譯唉韭。如今夜涕,多樣化的攻擊手段層出不窮,傳統(tǒng)安全解決方案越來(lái)越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊属愤。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)女器,使其免受漏洞所累。
本文轉(zhuǎn)自 OneAPM 官方博客
