組織不應(yīng)期望開發(fā)人員成為安全專家;這不是他們被訓(xùn)練成的樣子����,也不是他們的工作���。相反,組織應(yīng)該使用應(yīng)用程序安全團(tuán)隊(duì)來支持開發(fā)人員��,讓他們可以訪問安全的框架、庫和默認(rèn)設(shè)置��,使最安全的選項(xiàng)成為最簡(jiǎn)單的選擇����。安全護(hù)欄旨在幫助組織做到這一點(diǎn)。
可視化安全護(hù)欄將如何使您的開發(fā)人員和安全團(tuán)隊(duì)受益將幫助您入門�。本文提供了一些基本步驟,您可以實(shí)施這些步驟來將安全護(hù)欄引入您的AppSec程序���。
當(dāng)提供通過將安全工具無縫集成到應(yīng)用程序開發(fā)工作流中來編排安全工具的安全護(hù)欄時(shí)�����,開發(fā)人員有權(quán)創(chuàng)建安全代碼�����。他們通過保持低噪音的政策和控制來保持生產(chǎn)力�����,并且只報(bào)告影響很大的相關(guān)安全問題����。
采用安全護(hù)欄可確保開發(fā)團(tuán)隊(duì)無需安全團(tuán)隊(duì)的積極參與即可快速運(yùn)行。同樣����,AppSec團(tuán)隊(duì)可以通過自動(dòng)化開發(fā)人員工作流程中的安全控制、確保執(zhí)行而不是手動(dòng)執(zhí)行審查以及跟蹤錯(cuò)誤修復(fù)來擴(kuò)展�����。
當(dāng)控制被納入開發(fā)過程時(shí)��,開發(fā)團(tuán)隊(duì)不太可能忽視和繞過安全性�����。他們不必采取額外的步驟聯(lián)系安全團(tuán)隊(duì)�����。安全護(hù)欄確保最快的部署路徑也是最安全的��。
如何將安全護(hù)欄帶入您的AppSec程序
Netflix和Airbnb等公司承認(rèn)有必要讓開發(fā)人員團(tuán)隊(duì)能夠構(gòu)建安全軟件�����,同時(shí)為他們提供做出適當(dāng)安全決策的靈活性����。這些企業(yè)和許多其他企業(yè)已經(jīng)在CI/CD中實(shí)施了安全護(hù)欄。以下是一些步驟���,可幫助您開始為組織中的開發(fā)人員提供一致�、可操作的自助式安全治理和控制�。
1.定義護(hù)欄:組織可以在開發(fā)人員工作流程中實(shí)施許多不同類型的安全護(hù)欄。對(duì)于技術(shù)組織內(nèi)的任何安全團(tuán)隊(duì)來說����,從良好的安全策略開始都是至關(guān)重要的。AppSec團(tuán)隊(duì)已經(jīng)與開發(fā)人員交流的安全控制是一個(gè)很好的起點(diǎn)����。這些可以是定義軟件工件的所有權(quán)、遵循特定的依賴許可策略�、使用內(nèi)部工件注冊(cè)表、使用或不使用特定庫����、代碼審查控制等。
2.設(shè)置范圍:并非所有的代碼倉庫都是平等的�����,根據(jù)項(xiàng)目的業(yè)務(wù)風(fēng)險(xiǎn)和關(guān)鍵性,不同的安全護(hù)欄可能適用于不同的代碼倉庫���。一旦您知道要實(shí)施哪些安全護(hù)欄來構(gòu)建“合適的”安全性��,您就可以確定在哪里應(yīng)用這些安全護(hù)欄�。
3.定義觸發(fā)器:根據(jù)您為其應(yīng)用防護(hù)機(jī)制的基礎(chǔ)資產(chǎn)(即代碼存儲(chǔ)庫����、依賴項(xiàng)、拉取請(qǐng)求�、容器、EC2實(shí)例等)���,您可以在何處以及如何使用它可能會(huì)有所不同���。例如,您可以在創(chuàng)建代碼存儲(chǔ)庫�����、合并拉取請(qǐng)求��、部署容器或作為每晚的計(jì)劃時(shí)使用一些防護(hù)措施���?��?梢栽谌魏芜@些事件中觸發(fā)護(hù)欄,以便開發(fā)人員可以在適當(dāng)?shù)臅r(shí)間采取適當(dāng)?shù)男袆?dòng)��。
4.采取適當(dāng)?shù)男袆?dòng):根據(jù)設(shè)計(jì)����,護(hù)欄可以是預(yù)防性的或反應(yīng)性的,對(duì)違規(guī)行為可能采取的行動(dòng)取決于您打算將它們是預(yù)防性的還是反應(yīng)性的���。您可以使用反應(yīng)式護(hù)欄按預(yù)定義的時(shí)間表運(yùn)行�����,識(shí)別各種護(hù)欄違規(guī)�����,并通知相應(yīng)的所有者�����。例如�����,每周找出未配置依賴項(xiàng)掃描和SAST工具的關(guān)鍵代碼存儲(chǔ)庫��,并通知所有者違規(guī)情況�����。
預(yù)防性護(hù)欄實(shí)時(shí)識(shí)別違規(guī)行為并通知開發(fā)人員�。例如,如果未在該存儲(chǔ)庫上啟用依賴掃描�,則自動(dòng)評(píng)論拉取請(qǐng)求或使構(gòu)建失敗,或者如果容器不是來自批準(zhǔn)的容器注冊(cè)表�����,則阻止在Kubernetes中部署容器�����。
5.報(bào)告:定期報(bào)告整個(gè)組織對(duì)護(hù)欄的遵守情況�����。報(bào)告對(duì)護(hù)欄的遵守情況消除了許多關(guān)于此安全問題是否必不可少并使安全風(fēng)險(xiǎn)二元化的非生產(chǎn)性辯論�。決策變得與底層軟件資產(chǎn)是否滿足預(yù)期控制一樣簡(jiǎn)單,無需進(jìn)一步的安全戲劇或FUD(恐懼�、不確定性和懷疑)。
為什么安全護(hù)欄是應(yīng)用程序安全的未來
工程和安全團(tuán)隊(duì)一直在努力解決在DevOps期間實(shí)施安全的復(fù)雜性�。組織經(jīng)常缺乏安全可見性,開發(fā)人員工作流程中的安全檢查不足���,以及無法以DevOps的速度擴(kuò)展AppSec�。安全護(hù)欄簡(jiǎn)化了可在開發(fā)人員工作流程中定義和應(yīng)用的特定于上下文的安全策略和控制的關(guān)聯(lián)��。這種策略是AppSec的未來��,因?yàn)榻M織必須授權(quán)開發(fā)人員生成安全代碼����,而無需擔(dān)心安全守門的拖累。
安全護(hù)欄是確保開發(fā)團(tuán)隊(duì)在現(xiàn)代SDLC中采用安全策略和控制的唯一方法�。這種采用消除了開發(fā)人員與安全性之間的摩擦,并確保開發(fā)人員能夠快速�、安全地開發(fā)應(yīng)用程序。
通過應(yīng)用自動(dòng)化安全護(hù)欄���,您的組織可以降低安全風(fēng)險(xiǎn)并使部署路徑盡可能安全�。Guardrails使開發(fā)人員能夠完全自主地實(shí)現(xiàn)與時(shí)間相關(guān)的關(guān)鍵性能指標(biāo),讓工程師在安全團(tuán)隊(duì)的瓶頸最小化的情況下——同時(shí)安全團(tuán)隊(duì)可以騰出時(shí)間將他們的知識(shí)和技能應(yīng)用到最緊迫的問題上����。
安全護(hù)欄代表了最終的安全轉(zhuǎn)變,使開發(fā)人員能夠安全地從代碼到云���。借助CI/CD中預(yù)先構(gòu)建的�、上下文相關(guān)的實(shí)時(shí)安全策略和控制���,組織可以影響開發(fā)人員的行為并在SDLC中構(gòu)建安全性�����。
沃卡惠
