应用程序安全策略:随着DevOps的兴起,可能需要重新审视在那段时间里,我学习了许多不同的方法来部署AppSec策略。通常,安全团队(CISO/CIO领导)部署适用于开发人员和工程师的AppSec策略。然而,随着软件开发和发布方式的快速变化,几年前部署的大多数安全策略已不再为开发社区所接受。许多应用程序安全策略是在我们没有快速、自动化的安全工具插入SDLC时构建的。现在,随着团队转向DevOps和CI/CD,重塑符合而不是违背开发人员“快速获得优质代码”目标的新政策比以往任何时候都更加重要。根据多年的工作经验,我总结了一些在调整您的应用程序安全策略时需要考虑的事项,如下所示:实施可操作的策略首先设置一些可实现的策略标准。不要让从未做过安全性的团队尝试满足PCI或所有OWASP要求;因为他们肯定做不到并且会在开始之前就放弃。从一个简单的策略开始:没有高或非常高的严重缺陷。随着时间的推移,开发者在日常工作中采取的安全措施会越来越严格。它不仅包括不允许的缺陷类型,还必须包括静态、动态、组合分析和其他类型的评估。另外,他们需要多长时间才能解决他们发现的问题?增加基于bug严重程度的宽限期,即非常严重的bug需要在五天内识别;中度严重的错误需要在15天内修复;低严重错误不需要固定的截止日期。此外,添加频率和相位要求。他们需要多久扫描一次,在什么开发阶段扫描?这与所需的评估类型一致。如果要在DevOps中占有一席之地,安全性必须越来越多地向左移动。让您的策略开发团队以不断加快的发布速度崛起,并且您需要使策略与开发人员在整个开发周期中使用的安全工具和解决方案保持一致。例如:不需要对每个版本或在发布周期结束时进行测试。将此类要求更改为每季度一次,在发布过程之外。在每日发布周期中包括静态测试等自动化测试。此外,并非所有应用程序都生而平等,因此您需要为不同的应用程序创建不同的需求。例如:具有IP的应用面向公众,具有可能需要修复所有中度到非常严重错误的第3方组件,单页弹出式营销网站可能只需要修复高/非常高的错误。治理拥有应用程序安全策略绝对是最佳实践,但如果没有治理,它也毫无用处。跟踪策略合规性是安全的(许多工具现在具有可以报告的内置策略管理器)。此外,如果策略不断失败,则安全需要与开发和团队培训合作,例如:讲师指导的培训、研讨会、网络研讨会、电子学习、捕捉标志事件。要点?开发环境在不断变化,确保您的安全策略与它们一起工作,而不是与它们作对。?安全策略需要成为“无判断区”。使用它们来帮助教育开发团队了解他们正在做什么,而不是批评他们的失败。?不要太严格。先制定策略,然后促进团队成员疏忽构建安全代码,并随着时间的推移提供相应的培训,使他们的能力变得更强。作者:PejmanPourmousa原文地址:https://dzone.com/articles/application-security-policy-might-need-to-revisit
