应用程序的快速交付并不是安全的敌人,尽管现在看起来如此。随着企业不断采用云服务和基础架构,安全性逐渐被抛在后面是不可取的——尤其是在持续集成/持续交付管道已成为攻击者主要目标的情况下。在应用程序上线后扫描其安全漏洞是不够的。一旦DevOps团队开始开发应用程序和配置基础架构,就应该开始采用安全左移方法,以便在漏洞变得更加普遍和修复成本更高之前解决漏洞。这是DevSecOps的核心原则。通过左移安全,组织可以在用户受到影响之前识别错误配置和其他安全风险。云计算在支持DevOps方面发挥着重要作用,因此保护云环境和工作负载可以保护CI/CD管道并最终保护客户。以下是DevOps团队在进行安全左移时应考虑的5项重要安全任务:1.与安全团队协作。安全的左移是一个很大的变化。除了设置合理的流程和使用正确的工具之外,企业还必须重新思考他们的运营方式,并在CI/CD流水线中更早地引入软件测试流程、工具和相关专业知识。DevSecOps不是简单地将安全责任推给开发人员,而是改变角色和期望,结合正确的工具,以实现安全与开发之间的平衡。从开发周期的一开始,安全性就应该是高度优先的,而不是在SDLC的后期。2、实现频繁的自动化测试。向左转移安全性需要尽早并经常进行测试。通过自动化代码测试,开发人员在工作时会收到安全问题警报,因此他们可以在软件投入生产之前纠正问题。扫描漏洞的自动化工具可以减少手动测试中可能发生人为错误的机会,并扩大覆盖范围以检查更多软件。在开发过程的每个阶段都会扫描代码,因此在SDLC中不会出现等待后期审查的代码积压。安全左移策略涉及将一个或多个工具集成到CI/CD管道中,以寻找已知漏洞并识别其他安全问题。常用的工具类型包括静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)、交互式应用程序安全测试(IAST)、密钥检查和软件组合分析(SCA)。当然,在决定将哪些新工具引入您的流程之前,您应该首先评估您现有的工具。3、过程中进行渗透测试。尽管自动化测试是DevSecOps的必经之路,但仍然可能存在仅靠自动化无法发现的潜在问题。渗透测试等手动安全评估可以通过模拟网络攻击来检查应用程序的安全性。这种类型的额外测试可以最大限度地降低安全风险,并可能发现自动化测试无法检测到的问题。在投入生产之前,请一名安全工程师帮助您审查软件并进行渗透测试,以确保所有潜在问题都得到缓解。与其在被攻击者利用之后才知道漏洞的存在,不如直接覆盖所有底层代码并对其进行额外测试。4.确保您的软件是最新的。始终使用最新版本的软件是网络安全的核心。开发人员必须确保他们使用的软件(操作系统、应用程序框架、第三方库等)保持最新,这意味着安全补丁也是最新的。无论是来自供应商还是开源社区的软件,下载软件更新都是确保软件安全的重要步骤。5.寻找安全培训的机会。开发人员不是安全专家,但他们在安全应用程序的生产中起着关键作用,因此开发人员也应该了解安全编码和测试的基础知识。随着对软件需求的增加,开发人员应考虑针对其特定角色和需求量身定制的安全培训。适当的培训和支持可以为您提供生成功能性和安全性代码所需的背景信息。说到软件安全,没有什么灵丹妙药可以完全确保您的代码始终安全。通过采用这些做法,您可以在部署代码之前发现更多漏洞并应用补丁。
