為什么DevSecOps是企業(yè)安全團(tuán)隊的“得力助手”?

在開發(fā)軟件和應(yīng)用程序時，安全永遠(yuǎn)不應(yīng)該是事后才想到。然而，隨著技術(shù)的不斷進(jìn)步，許多人所依賴的安全工具正在實(shí)時發(fā)生變化，現(xiàn)在需要新的策略來在產(chǎn)品出現(xiàn)之前消滅潛在的漏洞或黑客攻擊。為了領(lǐng)先于網(wǎng)絡(luò)犯罪分子者一步，是時候重新構(gòu)想從“DevOps”到“DevSecOps”的應(yīng)用程序開發(fā)流程了。

DevOps是軟件敏捷開發(fā)生命周期的演變，它在開發(fā)和運(yùn)營團(tuán)隊之間架起了橋梁。它打破了孤島，并提高了企業(yè)以比傳統(tǒng)軟件開發(fā)模型更快的速度交付應(yīng)用程序和服務(wù)的能力。傳統(tǒng)的“瀑布方法”需要很長的前期周期，導(dǎo)致過程繁瑣乏味——當(dāng)這些解決方案被認(rèn)為可以發(fā)布時，市場可能已經(jīng)發(fā)生了翻天覆地的變化。

今天，敏捷軟件團(tuán)隊的發(fā)布周期只有幾天或幾小時，這增加了編寫代碼缺陷和引入漏洞的風(fēng)險。那么，組織如何在保持快速地開發(fā)效率的同時，生成更安全的代碼和應(yīng)用程序，并在他們還不知道這些攻擊是什么樣的情況下阻止?jié)撛诘木W(wǎng)絡(luò)攻擊?

為了加強(qiáng)其產(chǎn)品、解決方案和合作伙伴的網(wǎng)絡(luò)安全，公司有必要從DevOps文化轉(zhuǎn)變?yōu)椤癉evSecOps”文化。

從頭開始，保持安全

DevSecOps 將安全性置于整個開發(fā)過程的最前沿，確保良好的網(wǎng)絡(luò)安全，是軟件開發(fā)過程中，開發(fā)人員和運(yùn)營商始終要首先考慮的因素。這種思維方式的轉(zhuǎn)變鼓勵企業(yè)尋找開發(fā)安全代碼和應(yīng)用程序的最佳方法——并且有各種資源和策略可以幫助開發(fā)團(tuán)隊做到這一點(diǎn)。

四點(diǎn)安全解決方案

安全框架：從路線圖開始總是最好的——通過尋找第三方資源以獲得最佳實(shí)踐，企業(yè)可以確保他們的軟件幾乎可以應(yīng)對任何情況。例如，在成熟度模型中的構(gòu)建安全性，又名 BSIMM，是一個很好的資源，它列出了120多個安全最佳實(shí)踐，例如通過靜態(tài)代碼安全檢測和動態(tài)分析進(jìn)行的自動化安全測試，以幫助開發(fā)團(tuán)隊在設(shè)計解決方案時將這些安全工具放在首位.。

安全代碼培訓(xùn)：開發(fā)人員不知道他們不知道的那些部分，因此企業(yè)可以對他們進(jìn)行關(guān)鍵威脅和最佳實(shí)踐的培訓(xùn)。通過實(shí)施持續(xù)的安全意識培訓(xùn)，確保團(tuán)隊已做好充分準(zhǔn)備以檢測和糾正其代碼和產(chǎn)品中的任何漏洞。

安全門：在DevOps構(gòu)建過程中，安全門可以阻止發(fā)布——讓安全和工程團(tuán)隊有足夠的時間來確定這些錯誤的嚴(yán)重程度將破壞整個構(gòu)建。實(shí)施安全門將幫助團(tuán)隊在發(fā)布前準(zhǔn)確確定需要修復(fù)的內(nèi)容。

實(shí)施多層安全策略：為了確保全面的安全，企業(yè)必須讓安全成為每個人的責(zé)任。例如，可以首先為開發(fā)人員提供在編寫代碼時檢測漏洞的工具，然后利用內(nèi)部團(tuán)隊定期運(yùn)行靜態(tài)代碼安全檢測和動態(tài)應(yīng)用程序安全工具。為了增加安全性，組織可以引入外部測試人員來執(zhí)行黑盒和灰盒測試;或者，他們可以建立一個漏洞賞金計劃，并支付安全研究人員的費(fèi)用來尋找更難發(fā)現(xiàn)的漏洞。

為什么要認(rèn)真檢查第三方代碼庫

Apache Struts、Telerik UK(第三方 .NET庫)等第三方庫對企業(yè)來說既是福也是禍。一方面，組織可以利用他人構(gòu)建的內(nèi)容，對其進(jìn)行調(diào)整并在此基礎(chǔ)上創(chuàng)造更豐富的體驗，而無需從頭開始制作一切。

另一方面，從代碼庫中引入惡意代碼也十分容易，因此需要不斷更新和升級庫，并及時修補(bǔ)漏洞，以維護(hù)“干凈”的代碼庫。開發(fā)人員將需要更新工具包，以確保定期和實(shí)時修補(bǔ)第三方材料的漏洞，因為即使您的團(tuán)隊或合作伙伴最輕微的疏忽也可能導(dǎo)致最嚴(yán)重的漏洞。

事實(shí)上，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 最近發(fā)布了一份最常被利用的軟件漏洞列表，Apache Struts是列表中第二大受攻擊技術(shù)。攻擊者還經(jīng)常利用開源Web服務(wù)中的漏洞，例如捆綁在無數(shù)產(chǎn)品中的Apache Tomcat。

正在進(jìn)行的打地鼠游戲

今天不存在的威脅和攻擊方式明天將很可能利用您系統(tǒng)中的漏洞。然而，通過將安全放在首位并實(shí)施DevSecOps文化，企業(yè)可以更好地在威脅出現(xiàn)時緩解威脅，并在它們造成任何問題之前中斷網(wǎng)絡(luò)攻擊。

下一波威脅即將到來，您的企業(yè)準(zhǔn)備好了嗎?

參讀鏈接：

https://www.woocoom.com/b021.html?id=16aeac832ad34c4dbef11122107be830

https://threatpost.com/apps-built-better-devsecops-security-silver-bullet/167793/