保持安全權利的危險
隨著軟件立即發布,就會立即發布任何風險。
The DevSecOps 的六大支柱:雲資安聯盟(CSA)出版的《自動化》指出,「安全只有在設計時才能實現。應用安全措施作為後續思考是災難的秘訣。
安全防護必須遵循相同的自動化路徑。 在整個開發生命週期中緊密整合安全性,不僅可以加快發行時間,還可以提高安全性。
合作而不是衝突
在開發完成後實施安全性的傳統程序,但在發布之前,導致安全性和開發團隊之間經常發生衝突。 當開發團隊完成他們的任務部分時,他們試圖將應用程式交到最終用戶手中,交付他們的工作成果,開始收集回饋並按時完成任務。對於安全性來說,阻止釋放會導致兩者之間產生對抗性關係。
ShiftLeft對超過 165 名開發人員、應用程式安全和開發營運專業人員進行的調查發現,89% 的受訪者表示,目前開發人員和網路安全團隊之間的脫節是生產力的最大阻礙。
通過將安全性轉移到左側,團隊可以改為合作,並整合必要的程序,以便準時安全地準備應用程序發行。
提前嵌入安全性責任
向左移動涉及在何時、地點以及如何應用安全最佳做法的變更。 安全必須與開發人員和開發營運建立信任。了解開發營運自動化文化以及他們部署程式碼的速度很有幫助。
作為向左移動的一部分,您應該為開發人員提供安全地完成工作的工具,而無需添加工作。 這包括自動化安全性,例如在部署時進行脆弱性掃描以及為 Lambda 函數產生權限。
消除摩擦
雖然安全性必須積極主動,但在維持這種速度的同時實現很有挑戰性。 您需要獲得控制權,治理和可觀察性。 安全專業人員必須啟用,而不是限制業務。
對於開發人員來說,瞭解安全的編碼方法非常重要。 這可以使開發人員(而不是安全分析師)儘早檢查並消除脆弱性。
正如首席技術安全官 Marco Rottigni 告訴《電腦商業評論》的那樣,「開發人員應該配備插件,在開發營運流程的每一步觸發安全和合規控制,在他們常用的工具中直接公開結果,以實現快速開發。“修復易受攻擊的程式碼。”
雖然有進展向左轉移,但這通常還不夠。 在 GitLab 2020 年DevSecOps 格局地圖調查中,超過 42% 的受訪者表示測試在生命週期中發生得太晚。
如果沒有安全自動化,開發營運團隊通常會因需要等待人工批准而受到阻礙。
裝備左轉安全的工具
- 靜態應用程式安全測試 (SAST)
- 動態應用程式安全測試 (DAST)
- 容器掃描
- 合規性掃描
- 依賴性掃描
給予左轉移時間
正如 Paul Holland 在 Computer Weekly 上寫道的那樣,「CISO 需要意識到開發人員應該獲得時間安全開發,而不要僅根據構建的時間來判斷他們的性能。」
向開發人員分配額外的應用程式安全職責,同時期望他們保持快速的步伐,這是不合理的。雖然將安全性轉移到左側會導致更有效率的流程,並且可以加快上市時間,但仍然必須為這些安全性任務的任務分配時間,例如程式碼審查。
自動轉到左移
「如果沒有自動化安全功能,這些功能可以及時提供有意義的反饋,無法成功整合安全控制。 即使採用適度的自動化安全功能,也有可能消除所有類別的風險。」雲端資安聯盟研究分析師Sean Heide 表示。
自動修復。 不要創建票證來解決可以自動化方式解決的問題。 提供開發人員自助服務,以評估他們即將部署的堆疊的安全性。
Puppet 的現場首席技術長 Nigel Kersten強調了在 DevSecOps 實踐中大規模部署自動化的重要性。「沒有 [擴展自動化],組織最終將擁有相同的手動流程和相同衝突的激勵措施。 然後,這些企業只剩下 Dev、Sec 和 Ops,而不是 DevSecOps。 」
跨雲端自動化安全
不同的解決方案不足。 特別是,應用程序安全性並未設計為自動適應應用程序更改。 大多數雲端基礎架構的規模以及動態環境使得安全性變得尤其具有挑戰性。
現今的安全專業人員需要在所有雲端環境中部署多層安全性,並在您所做的一切事情中使用一致的安全方法和策略語言。Check Point 提供了一種自動化安全方法,可在雲端規模和速度下提供保護。透過姿勢管理和資產的高保真度可見性來追蹤您的配置。 根據最佳做法以及您自己的政策維持保護。 持續監控整個雲端基礎設施並採取行動。
反映意見