为什么DevSecOps是企业安全团队的“得力助手”? – 作者:中科天齐软件安全中心

在开发软件和应用程序时，安全永远不应该是事后才想到。然而，随着技术的不断进步，许多人所依赖的安全工具正在实时发生变化，现在需要新的策略来在产品出现之前消灭潜在的漏洞或黑客攻击。为了领先于网络犯罪分子者一步，是时候重新构想从“DevOps”到“DevSecOps”的应用程序开发流程了。

DevOps是软件敏捷开发生命周期的演变，它在开发和运营团队之间架起了桥梁。它打破了孤岛，并提高了企业以比传统软件开发模型更快的速度交付应用程序和服务的能力。传统的“瀑布方法”需要很长的前期周期，导致过程繁琐乏味——当这些解决方案被认为可以发布时，市场可能已经发生了翻天覆地的变化。

今天，敏捷软件团队的发布周期只有几天或几小时，这增加了编写代码缺陷和引入漏洞的风险。那么，组织如何在保持快速地开发效率的同时，生成更安全的代码和应用程序，并在他们还不知道这些攻击是什么样的情况下阻止潜在的网络攻击?

为了加强其产品、解决方案和合作伙伴的网络安全，公司有必要从DevOps文化转变为“DevSecOps”文化。

从头开始，保持安全

DevSecOps 将安全性置于整个开发过程的最前沿，确保良好的网络安全，是软件开发过程中，开发人员和运营商始终要首先考虑的因素。这种思维方式的转变鼓励企业寻找开发安全代码和应用程序的最佳方法——并且有各种资源和策略可以帮助开发团队做到这一点。

四点安全解决方案

安全框架：从路线图开始总是最好的——通过寻找第三方资源以获得最佳实践，企业可以确保他们的软件几乎可以应对任何情况。例如，在成熟度模型中的构建安全性，又名 BSIMM，是一个很好的资源，它列出了120多个安全最佳实践，例如通过静态代码安全检测和动态分析进行的自动化安全测试，以帮助开发团队在设计解决方案时将这些安全工具放在首位.。

安全代码培训：开发人员不知道他们不知道的那些部分，因此企业可以对他们进行关键威胁和最佳实践的培训。通过实施持续的安全意识培训，确保团队已做好充分准备以检测和纠正其代码和产品中的任何漏洞。

安全门：在DevOps构建过程中，安全门可以阻止发布——让安全和工程团队有足够的时间来确定这些错误的严重程度将破坏整个构建。实施安全门将帮助团队在发布前准确确定需要修复的内容。

实施多层安全策略：为了确保全面的安全，企业必须让安全成为每个人的责任。例如，可以首先为开发人员提供在编写代码时检测漏洞的工具，然后利用内部团队定期运行静态代码安全检测和动态应用程序安全工具。为了增加安全性，组织可以引入外部测试人员来执行黑盒和灰盒测试。或者，可以建立一个漏洞赏金计划，并支付安全研究人员的费用来寻找更难发现的漏洞。

为什么要认真检查第三方代码库

Apache Struts、Telerik UK(第三方 .NET库)等第三方库对企业来说既是福也是祸。一方面，组织可以利用他人构建的内容，对其进行调整并在此基础上创造更丰富的体验，而无需从头开始制作一切。

另一方面，从代码库中引入恶意代码也十分容易，因此需要不断更新和升级库，并及时修补漏洞，以维护“干净”的代码库。开发人员将需要更新工具包，以确保定期和实时修补第三方材料的漏洞，因为即使您的团队或合作伙伴最轻微的疏忽也可能导致最严重的漏洞。

事实上，网络安全和基础设施安全局 (CISA) 最近发布了一份最常被利用的软件漏洞列表，Apache Struts是列表中第二大受攻击技术。攻击者还经常利用开源Web服务中的漏洞，例如捆绑在无数产品中的Apache Tomcat。

正在进行的打地鼠游戏

今天不存在的威胁和攻击方式明天将很可能利用您系统中的漏洞。然而，通过将安全放在首位并实施DevSecOps文化，企业可以更好地在威胁出现时缓解威胁，并在它们造成任何问题之前中断网络攻击。

下一波威胁即将到来，您的企业准备好了吗?

参读链接：

https://www.woocoom.com/b021.html?id=16aeac832ad34c4dbef11122107be830

https://threatpost.com/apps-built-better-devsecops-security-silver-bullet/167793/

来源：freebuf.com 2021-07-20 09:39:04 by: 中科天齐软件安全中心