关于devops:DevSecOps-中的漏洞管理上

47次阅读

共计 1554 个字符,预计需要花费 4 分钟才能阅读完成。

DevSecOps 意味着在 DevOps 交付管道把安全性蕴含进去。该模型尽可能早地将平安准则集成到软件开发生命周期的所有实用阶段中。下图展现了平安方面在 DevOps 前期阶段的集成,但 DevSecOps 安全性集成到生命周期的所有阶段。

IT 平安领导者应该在他们的组织中采纳无效的破绽治理实际来施行适当的 DevSecOps。

破绽治理

破绽治理是一种帮忙组织辨认、评估、确定优先级并修复零碎中破绽的做法。最终,破绽治理的指标是通过应用修补、加固和配置管理等技术来升高破绽带来的危险。这有助于确保安全性,同时限度歹意用户可能利用的危险。IT 平安的主要职责是防备破绽。咱们都晓得,安全漏洞可能代价昂扬;依据 Ponemon 研究所和 IBM 进行的联结钻研,每次数据泄露的均匀老本为 435 万美元,而 85% 的组织在 2022 年至多有一次数据透露。依据《2022 年数据泄露报告》,以下是近年来十大数据泄露和十大数据透露属性。

破绽 vs. 利用 vs. 威逼

了解破绽、威逼和利用之间的定义和关系十分重要。
破绽 (vulnerability)是代码或软件中的缺点,为攻击者提供了未经受权拜访零碎的路径。在高层次上,破绽能够分为两种类型:

1. 技术破绽: 与代码相干的 bug 或谬误、配置不当的防火墙、未打补丁或过期的操作系统或基础设施等。
2. 人的破绽:人们无意或无心地犯错误,并通过利用人类心理取得数据、零碎或包的拜访权限。

破绽利用 (exploit)是黑客利用破绽的办法。利用破绽攻打是指一些恶意代码,用来攻打零碎的破绽。它可能会窃取信息,减慢 / 阻止零碎运行,或者成为服务器上的寄生虫,在将来制作问题。例如,Log4Shell 破绽是 Log4j 程序容许用户依据本应打印在日志中的值执行任意代码的一个弱点。随后施行了许多不同的破绽利用,试图以不同的形式应用此破绽——其中一些破绽利用容许您插入本人的代码。相比之下,其他人裸露了软件的公有环境变量。

威逼(threat) 是指一个或多个破绽利用破绽发动攻打的理论事件。

破绽治理和 DevSecOps 组合

为了在 DevSecOps 我的项目中有一个良好的开始,在利用程序开发的晚期——最好是在开始编写代码之前——就集成平安指标。平安能够集成,并且能够在我的项目的初始阶段开始无效的威逼建模。当开发人员在代码进入管道之前查看代码以辨认任何问题时,动态剖析筛选器和策略引擎能够随时运行。这有助于开发人员立刻理解平安问题,使他们可能解决平安问题的所有权。一旦在动态应用程序中查看了代码,就能够应用 SAST(static analysis security testing,动态剖析平安测试)工具执行平安测试,以辨认破绽并执行软件组合分析。应该将 SAST 工具集成到提交后的过程中,以确保被动扫描引入的新代码以查找破绽。因而,在软件开发生命周期的晚期集成 SAST 工具能够升高应用程序破绽危险。

在代码构建之后,就能够开始进行平安集成测试。在一个独立的容器沙盒中运行代码能够自动测试网络调用、输出验证和受权等内容。这些测试是 DAST 工具(dynamic application security testing,动静应用程序平安测试)的一部分。这些测试会生成即时反馈,从而可能疾速迭代以测试问题。如果发生意外的网络调用或未经污染的输出等状况,测试将失败,管道将以告诉相干团队的模式生成可操作的反馈。

拜访治理是须要与 DevSecOps 集成的下一个重要准则。咱们须要确保应用程序编写相干的安全性和性能指标。须要执行角色工程,定义与每个角色相干的角色和拜访权限——须要定义规范的天生权力角色。
 

平安扫描和破绽治理甚至在产品 / 我的项目投入生产后仍在持续。咱们须要确保通过适当的配置管理将主动补丁利用到产品的最新版本。确保产品运行的是软件及其代码的最新稳固版本。

正文完
 0