开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技

以色列的安全开发管理厂商Apiiro在2021 RSAC创新沙盒中夺冠。Apiiro创始人是以色列国防部退伍军人,曾在微软负责软件风险管理,SDL也是微软提出的安全开发框架。

他们的参赛产品是代码风险可视化管理平台,通过机器学习和UEBA技术做信息整合处理,实时评估软件开发全流程的安全与合规风险,并提供CI/CD防入侵、开发人员异常行为识别等功能。尽管SDL安全开发生命周期已发展多年,但落地瓶颈依然显著,从这个角度来看,Apiiro夺冠也在情理之中。

默安科技作为国内开发安全领域的先行者和领导者,秉持“上医治未病”的安全理念,拥有贯穿需求、设计、编码、测试,以及上线运营的全栈开发安全能力,自主研发一套拥有完整知识产权、安全可控的“产品+服务+平台”的SDL/DevSecOps全流程方案,包括威胁建模STAC、白盒代码安全检查SAST、软件成分分析SCA、交互式安全测试IAST、黑盒应用安全扫描DAST、SDL研发安全管理平台、资产漏洞一体化管理平台等多个产品,与主流CI/CD系统无缝集成,帮助客户在应用上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题,从源头上避免安全事故。

默安科技的安全开发全流程方案目前已在金融、运营商、能源、政府、制造、软件、教育、医疗等行业积累了大量成功案例,在实际应用场景中为用户提供真实的安全价值,实现应用系统的安全左移;并受到Gartner、数世咨询等国内外权威研究机构的认可与推荐。

如何突破SDL落地瓶颈?让我们一起来看看默安科技SDL专家怎么说。近日,(ISC)²西南分会邀请技术专家刘传兴在其主办的“云讲坛”直播活动中作了《应用漏洞围猎 – OWASP S-SDLC安全实践》的主题分享。下文详细整理了演讲内容,围绕OWASP相关建设,剖析安全开发方向,并分享默安科技在SDL/DevSecOps落地方面的最佳实践。

01 SDL/DevSecOps的必要性 

当前企业安全面临内忧外患的局面。对内安全测试工具五花八门,误报率和易用性差距非常大,OWASP在2016年的Benchmark Project中就指出,各个工具测试效率差别很大。

图片[1]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

可以看出,传统的DAST和SAST工具表现情况不如人意,DAST准确性仅18%,而SAST虽然准确性达到84%,但误报率却高达53%。而新兴的IAST测试工具准确性能达到惊人的100%。

与此同时,企业内部安全人员能力很多时候无法支撑庞大的业务规模。据某银行客户反馈,平均单个项目中,会出现1000+安全漏洞,其中高中危漏洞300+,而团队安全仅5人负责,不可能对所有漏洞做人工审计,而安全人员对漏洞报告的理解也存在局限。

另一方面,外部形势也不容乐观。应用安全已经成为攻击者眼中的“香饽饽”。据2019年hackone报告显示,72.3%的漏洞来源于Web应用。此外,政府对安全合规要求也越来越严格。除了国内的《网络安全法》和等保2.0,还有欧盟最为严格的通用数据保护条例等。

面对这样的困局,企业有无破解之道?

图片[2]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

著名软件工程方法论专家Capers Jones在其《Applied Software Measurement: Global Analysis of Productivity and Quality》一书中用一张图解释了应用漏洞的产生规律,漏洞普遍发现阶段以及不同开发阶段中的漏洞修复成本。

85%的漏洞出现在编码阶段,但黄线代表的漏洞发现比例在编码阶段几乎为0,到单元测试、功能、系统测试阶段才被越来越多地发现,但红线所代表的漏洞修复成本在系统测试以前成倍上升,在应用发布上线后则呈指数级上升。

因此,在开发阶段介入SDL/DevSecOps方案显得尤为必要,在软件开发的早期阶段尽早发现安全问题,及时修复,极大地降低应用上线后的修复成本。

02 OWASP S-SDLC

OWASP作为国际权威的安全组织,很早就在SDL领域布局,建立了轻量级的应用SDL,简称S-SDLC。下图呈现了S-SDLC在不同阶段所推出的开源文档、工具以及体系化的培训。

图片[3]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

总结S-SDLC可以发现三个突出的特点:

(1)标准化:一流“组织”建标准,建立衡量SDL成熟度的SAMM标准。

(2)体系化培训:详实的文档+配套的系统。

(3)安全扫描工具:第三方依赖检查-从Check到Track+强大的漏扫工具ZAP。

1. 文档与体系化培训

很多标准类的文档对用户落地SDL有很大的指导意义,供应商也可借鉴OWASP的思路丰富自己的产品与服务体系。这些文档也是OWASP体系化培训框架的重要组成部分。默安科技公众号不久前也给读者们推出了适用于应用构建阶段的《代码安全审计指南》

为什么安全培训如此重要?

列夫托尔斯泰说:“幸福的家庭是相似的,不幸的家庭各有各的不幸。”安全也是这样,不同企业面临的安全问题也有区别。刘传兴引用曾为某国有企业作安全培训的经历加以说明。该单位代码中存在大量SQL注入。代码如下:

图片[4]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

上述代码很明显是出自对安全不够了解的程序员之手。他理解应该用prepareStatement(预编译),而不是Statement(拼接),但用错了方法。安全代码如下:

图片[5]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

开发人员表示这种不安全的编码方法来自于前辈的“指导”,“即安全又少写两行”。这种小聪明难以发现,而且可能会“传染”。因此,只有针对性的培训才能解决这些问题。

2. SDL模型-SAMM

软件安全成熟度模型(SAMM)项目是OWASP的经典项目之一,用于评估一个组织当前的软件安全实践情况,并制定和实施相关风险策略。评估主要从5个阶段(治理、设计、实现(构建)、验证和运营)的15个维度入手,包括威胁评估水平、安全要求与架构设计、安全测试、运营管理等,如下图:

图片[6]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

成熟度模型的建立使不同企业之间的SDL具备可比性,是一种比较具有前瞻性的实践方法。

3. 工具

第三方依赖的安全性一直是应用安全不可逃避的话题,由于当前业务系统越来越复杂,第三方依赖主要存在以下几类威胁:

(1)管理困难。系统数量和业务增长使管理企业的第三方依赖越来越困难。

(2)存在已知的漏洞或后门。很多依赖版本无法确定,甚至有些第三方依赖开发的组织已停止更新维护,而业务系统中却仍在使用,就像坐在一个即将喷发的火山口上,危险随时有可能爆发。

(3)1day漏洞的管理。无法确定有多少依赖和依赖的版本,导致无法管理依赖产生的漏洞,而这种漏洞往往都是致命的,例如非常典型的fastjson反序列化漏洞、Struts2各种漏洞等。

OWASP强调直接依赖或间接依赖的成分不清晰,导致代码中的已知漏洞和后门易被疏忽。针对依赖项安全,OWASP有一套Dependency-Check(用于构建阶段的检查)和Dependency-Track(用于部署阶段的跟踪)的工具,相对简便易用,其不足之处是不支持更新国内漏洞库。

图片[7]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

谈到扫描工具,不得不提的是DAST和IAST。DAST作为传统漏扫工具的代表,曾经风头一时无两。但随着技术的进步,其缺陷也愈发明显。通俗来说,传统的DAST扫描工具类似“无头苍蝇”,依赖爬虫技术,扫描范围非常有限。而新兴的交互式漏洞扫描工具IAST则为扫描工具加上了“眼睛”和“脑袋”。IAST借助功能测试,获取应用的接口,为扫描器加上了“眼睛”。同时,插桩技术以其独有的污点跟踪能力,“理解”应用的调用过程,巧妙规避防重放机制和加密机制,为扫描器增加“智慧”。

03 SDL/DevSecOps最佳实践

SDL/DevSecOps的建设不是一蹴而就的,而是循序渐进逐步完善的。刘传兴根据自己多年经验,总结了最佳实践供读者参考。他认为安全开发体系建设应从工具建设和问题治理入手,做出成效,由浅入深,再引入完整体系,保持每一步的投入都有最佳产出。

图片[8]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科SDL最佳实践参考

从工具落地入手,再与开发项目管理平台以及CI/CD Pipeline等集成,再到整个开发安全体系的优化,包括各类管理流程,最后从安全意识教育、安全编码培训等角度提升相关人员的整体能力。

与此同时,达到企业内部的良性循环,也是默安科技在SDL/DevSecOps建设中考虑的重要一点,也就是做到“漏洞反哺安全开发流程”。当发现新的应用漏洞或风险后,企业内部反思各个开发阶段,哪个阶段出现遗漏,如何避免再次发生,同时,强化对开发人员的相关培训。

图片[9]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

默安科技采用“产品+培训+管理+优化”的模式,成功为大量用户实现SDL/DevSecOps的全面落地。下图为一个银行类客户实施前后的漏洞数量对比。可以看出,漏洞数量相比于实施前,有大幅度下降,真正做到对应用漏洞的“全面围猎”。

图片[10]-开发安全成RSAC创新沙盒热门,看默安DevSecOps最佳落地实践 – 作者:默安科技-安全小百科

来源:freebuf.com 2021-05-25 15:20:13 by: 默安科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论