一直增长的破绽积压,加上对修复哪些破绽以及何时修复不足明确性,可能导致一系列包含节约开发人员的工夫,提早上市工夫,以及因为修复工夫长而减少企业攻击面等问题。当代行业和环境要求疾速、频繁地推出功能性和平安代码的压力始终存在,而这也倒是须要开发人员确保和解决的工作和问题也越积越多,随之造成了破绽积压。 解决破绽积压最无效的形式就是精准无效地确定须要解决破绽的优先级程序。 尽管解决形式十分明确,但说起来容易做起来难。因为确定破绽的优先级程序不仅须要投入工夫,同时还须要相干平安专业知识来评估和确定每个破绽形成的威逼级别。在本篇文章中,咱们整顿了企业能够参考和采纳的四个步骤,来帮忙企业打消破绽积压的问题。
增强可见性
软件平安和软件供应链风险管理中的一个要害局部就是软件物料清单(SBOM),SBOM 是蕴含用于构建软件的各种组件的成分的嵌套清单。依据 Ponemon 的考察结果显示,有 41% 的受访者示意他们的企业应用 SBOM,这些企业有两大特点,即对危险评估和合规有明确要求。尽管有 70% 的人示意 SBOM 进行间断自动更新很重要或十分重要,但实际上只有 47% 的人示意他们的 SBOM 具备继续更新性能。这是因为想要继续更新 SBOM 就须要在动态 SBOM 的根底上进行手动、单点工夫点扫描来理解环境中的变动,而这给 CISO 以及平安团队造成微小的累赘。应用动态 SBOM 会让内容可见范畴受到限制,并且这通常仅在软件堆栈的特定局部中可用,这也将导致提早和不确定性,从而加剧平安危险。
与动态 SBOM 不同,动静 SBOM 提供对所有软件组件的实时可见性。动静 SBOM 更进一步揭示了这些组件是否在运行时执行以及如何在运行时执行,同时 DevSecOps 团队能够辨认与企业 SBOM 中的软件组件关联的已知破绽。这帮忙企业无效且精确地理解问题所在的地位,同时害提供了是否可能被攻击者利用的相干信息。
欠缺破绽优先解决打算
现在,许多企业都在部署和执行“平安左移”概念,“平安左移”晋升了软件开发生命周期(SDLC)对安全性,通过在 CI/CD 流水线中构建之后立刻验证破绽,并将其与测试一起纳入 SDLC 流程晚期。确定破绽的优先级至关重要,因为这将为解决对企业形成最大威逼的危险提供重要参考。
企业通常能够应用两种办法来:参考通用破绽评分零碎(CVSS)或采纳破绽扫描解决方案提供的优先级。不管企业抉择哪种形式,须要确保将上下文利用于每个破绽及其在 IT 环境中的地位。例如理解以下一系列问题:
- 破绽所在的资产的重要水平是怎么的?该破绽是面向互联网还是面向客户?
- 资产中是否蕴含敏感信息?
- 该破绽是否存在受监管的环境中?
- 如果该破绽利用胜利,会影响大量用户吗?
- 企业所在的行业是否成为破绽利用的指标?
资产上下文将提供企业的裸露级别、潜在业务影响、威逼上下文和破绽严重性信息。总之,残缺的优先级打算该当包含破绽的评估阶段(包含正确辨认资产),而后扫描破绽,并报告后果。
创立破绽修复打算
一旦发现并优先解决了软件破绽,那么接下来就须要制订一个欠缺的破绽修复打算。这个打算将包含阻止、修补和删除某些组件。企业须要认真谨慎地制订该打算,因为在修补破绽程序中可能须要停机或可能产生一些意外影响等。开发团队可能会公布一个长期修补程序,以便在须要更多工夫来正确修复破绽时提供变通条件。
企业的修复打算还该当包含所有 IT 资产的全面且不断更新的视图。这包含从硬件和软件,再到挪动应用程序的所有内容。企业还须要对所有组件进行精密、具体的拜访,以理解每个资产之间是如何互连的,以及该资产对其余零碎的依赖性。在理解了每种资产在整个 IT 环境中所表演的角色,就可能更好地理解该资产对企业的价值和重要性。这些上下文信息和具体数据为确定破绽修复的优先级奠定了非常重要的根底。
DevSecOps 优化破绽治理
最初一个步骤,确定 DevSecOps 的优先级,并在 SDLC 中更快地进行破绽修复,避免破绽积压。当 DevSecOps 被优先思考时,平安检测与开发的联合将变得更加无缝且高效,而这也依赖于在 SDLC 晚期实现运行时剖析和自动化。这样就能为响应工夫提供了速度和准确性,更好的破绽可见性,并依据此来确定和修复破绽。DevSecOps 能够通过辨认在企业环境中不可利用的破绽来缩小高达 85% 的破绽积压以及修补工作。这样开发人员就能够修复最重要的问题,而不是毫无目的地修复所有破绽。实际上,45% 的 Ponemon 考察受访者示意,缩小修补破绽的工夫是采纳 DevSecOps 的次要起因,另一方面起因, 则是对危险的优先排序和补救采取重点突出的办法(33%)。
依据 Ponemon 的考察结果显示,69% 的受访者示意,他们所在的企业曾经将 DevOps 齐全过渡到 DevSecOps,并且曾经或者开始在 SDLC 的每个阶段或都集成了安全性(29%)。大量的破绽积压工作会给 DevSecOps 团队带来太多麻烦。修复所有内容并不总是事实的、实用的或平安的。专一于解决亟待解决的问题更加重要,领有成熟的 DevSecOps 程序应该是破绽管理策略的重要组成部分。倡议企业采取必要的步骤来推动他们的 DevSecOps 打算。