共计 1431 个字符,预计需要花费 4 分钟才能阅读完成。
应用程序的疾速交付并非平安的敌人,只管当初看起来仿佛如此。随着企业继续采纳云服务和基础设施,平安却逐步被抛之脑后,这是不可取的——尤其是当初继续集成 / 继续交付流水线已成为攻击者的次要指标。
在应用程序上线后仅仅扫描其安全漏洞是远远不够的。平安的左移办法应该在 DevOps 团队开始开发利用和配置基础设施的时候就启动,这样就能够在破绽影响范畴更广和修复老本更低廉之前解决它们。这就是 DevSecOps 的外围准则。
通过平安左移,企业能够在用户受到影响之前辨认谬误配置和其余平安危险。云计算在实现 DevOps 方面施展了很大作用,因而爱护云环境和工作负载能够保卫 CI/CD 流水线的平安,最终爱护客户的平安。
以下是 DevOps 团队在进行平安左移时应该思考的 5 个重要平安工作:
1、与平安团队合作。 平安左移是一个重大扭转。除了设置正当的流程以及应用适合的工具之外,企业必须从新思考他们的运作形式,在 CI/CD 流水线中更早地引入软件测试流程、工具以及相干专业知识。DevSecOps 并不是简略地将平安责任塞给开发人员,而是扭转角色和冀望,并联合应用适合的工具,实现平安和开发的均衡。平安从开发周期的开始就应该领有比拟高的优先级,而不是在 SDLC 前期才开始器重。
2、实现频繁的自动化测试。 平安左移须要尽早且频繁地测试,通过自动化的代码测试,开发人员在工作时就会收到平安问题的揭示,这样他们可能在软件进入生产环境前纠正问题。扫描破绽的自动化工具能够升高人工测试中可能呈现的人为谬误的机会,并扩充了覆盖范围,以查看更多的软件。代码在开发过程中的每个阶段都会被扫描,因而到 SDLC 前期不会积压大量待审查的代码。
平安左移的策略须要将一个或多个工具集成到 CI/CD 流水线中以寻找已知的破绽以及辨认其余平安问题。通常会应用的工具类型包含动态利用平安测试(SAST)、动静利用平安测试(DAST)、交互式利用平安测试(IAST),密钥检测和软件成分剖析(SCA)。当然,在决定将哪些新工具引入你的流程之前,你应该首先评估你现有的工具。
3、在流程中进行浸透测试。 尽管自动化测试是 DevSecOps 的必备条件,但仅靠自动化依然可能存在无奈发现的潜在问题。例如浸透测试等手动平安评估能够通过模仿网络攻击来查看应用程序的安全性。这类额定的测试能够将平安危险降到最低并且可能捕捉到自动化测试无奈检测到的问题。
在进入生产环境之前,请一位平安工程师来帮忙你审查软件并进行浸透测试以确保所有潜在的问题都曾经失去缓解。与其在被攻击者利用之后才晓得破绽的存在,不如间接笼罩所有的根底代码并对其进行额定的测试。
4、保障你的软件是最新的。 始终采纳最新版本的软件是网络安全的外围。开发人员必须确保他们所应用的软件(操作系统、应用程序框架以及第三方库等)放弃在最新版本,这意味着安全补丁也处于最新状态。无论是来自供应商还是开源社区的软件,下载软件更新是爱护软件平安的重要步骤。
5、寻找平安培训的机会。 开发人员并非平安专家,但他们在平安应用程序的生产中具备关键作用,因而开发人员也应该理解平安编码和测试的基本知识。随着对软件需要的攀升,开发人员应该思考依据他们的具体角色和需要进行平安培训。适当的培训和反对能够为你提供所需的背景信息,以产生即实用又平安的代码。
谈及软件平安,没有任何灵丹妙药能够齐全确保你的代码永远平安无虞。通过采纳这些实际,您可能发现更多破绽并且在代码部署前就打上补丁。