“安全即代碼”目前發(fā)展到哪個階段?
谷歌和一些公司正在為軟件添加安全配置,以便云應(yīng)用程序和服務(wù)有明確定義的安全設(shè)置,同時,這也是DevSecOps的關(guān)鍵組成部分。
目前,希望提高敏捷性和支持混合工作模式的公司越來越多地采用云基礎(chǔ)架構(gòu),這也使得更多的開發(fā)團(tuán)隊(duì)采用“安全性即代碼”的方式,將安全性構(gòu)建到軟件和產(chǎn)品中。
在過去一年,谷歌將“安全即代碼”作為其云產(chǎn)品的基本組成部分,并在1月份將“軟件定義的基礎(chǔ)設(shè)施”確定為推動云安全的八大趨勢之一。將安全配置編碼為可以作為開發(fā)和部署流程輸入的代碼,可以讓組織分析其安全配置,輕松更改和重新部署,并持續(xù)監(jiān)控其安全配置的狀態(tài),以評估其是否匹配策略。
谷歌云首席信息安全官表示,這么做更有利于分析安全配置,并且持續(xù)可驗(yàn)證。
“安全即代碼”的好處在于,可以清晰了解到所部署的配置和所要分析的配置完全對應(yīng)。此外,“安全即代碼”是“基礎(chǔ)設(shè)施即代碼”的擴(kuò)展,DevOps 團(tuán)隊(duì)已將基礎(chǔ)架構(gòu)即代碼作為構(gòu)建和部署軟件、容器和虛擬機(jī)的事實(shí)上的標(biāo)準(zhǔn),但現(xiàn)在公司認(rèn)為,向云原生基礎(chǔ)架構(gòu)的轉(zhuǎn)變將使安全即代碼成為一種可持續(xù)的安全方法。
“安全即代碼” 是如何工作的
2021年,咨詢公司麥肯錫(McKinsey and Company)認(rèn)為,在現(xiàn)代企業(yè)移動的速度下,安全即代碼可能是確保云應(yīng)用程序和基礎(chǔ)設(shè)施安全的唯一方法。這家企業(yè)在一份意見書中寫道:在云計(jì)算中實(shí)現(xiàn)價(jià)值需要大多數(shù)公司建立一個轉(zhuǎn)型引擎,將云集成到業(yè)務(wù)和技術(shù)中,在主要業(yè)務(wù)中優(yōu)先推動采用,并建立更安全、更經(jīng)濟(jì)的使用云所需的基礎(chǔ)能力。“SaC是開發(fā)云安全和風(fēng)險(xiǎn)管理基礎(chǔ)能力的機(jī)制。”
谷歌希望使這個概念更加實(shí)用,并成為任何云基礎(chǔ)設(shè)施的一部分。去年11月,該公司的網(wǎng)絡(luò)安全行動團(tuán)隊(duì)宣布了一項(xiàng)風(fēng)險(xiǎn)與合規(guī)作為代碼(RCaC)解決方案。
采用了DevOps的公司知道,可重復(fù)的軟件構(gòu)建依賴于能夠?qū)⒒A(chǔ)設(shè)施元素的配置(無論是軟件應(yīng)用程序、管道構(gòu)建還是容器)指定為文件中的代碼。這種將基礎(chǔ)設(shè)施作為代碼的方法允許開發(fā)人員和操作專家在部署配置之前分析配置。
“安全即代碼”的目標(biāo)是在安全方面做同樣的事情,這種方法被許多人稱為DevSecOps。“安全即代碼”表示各種元素的安全配置,包括應(yīng)該執(zhí)行的安全測試、漏洞掃描的標(biāo)準(zhǔn)、加密需求和訪問控制。
它如何影響軟件材料清單(SBOM)?
谷歌認(rèn)為目前使用更明確和功能強(qiáng)大的軟件材料清單,是軟件及代碼在未來的關(guān)鍵組成部分。通過使用軟件材料清單,可以在任何構(gòu)建過程中分析軟件程序的組件,使用容易受到特定威脅(如Log4j)的組件可能會停止構(gòu)建。
這種機(jī)制有利于做出更有彈性的決策,與過去在傳統(tǒng)本地環(huán)境中所能做的相比,這種用于執(zhí)行安全策略的環(huán)境可編程性是很大的變革。
在創(chuàng)建代碼時發(fā)現(xiàn)并解決問題比在云中出現(xiàn)問題有效得多。通過這種方式,可以確保默認(rèn)部署的內(nèi)容是安全的,并且任何修復(fù)都是簡單的合并請求,而不是事后考慮或者補(bǔ)丁。
SAST和SCA這類工具在自動化實(shí)現(xiàn)“安全性即代碼”上發(fā)揮著很大作用。大多數(shù)企業(yè)甚至不知道他們的軟件是由哪些組件組成的,也不清楚所寫代碼是否規(guī)范或者存在安全缺陷。
目前,我們還處于采用“安全即代碼”的早期階段,基礎(chǔ)設(shè)施即代碼對安全性發(fā)展有很大意義,但還沒有完全成熟,很多組織并沒有這種機(jī)制。
文章來源:
https://www.darkreading.com/cloud/security-as-code-gains-more-support-but-still-nascent