多年来,DevOps是一种越来越流行的协作文化,并不断发展,将安全纳入流程中,以减少安全漏洞的数量。然而,在DevOps中启用安全性的转变尚未得到广泛实践。虽然您的组织中可能已经有一些工具可以帮助将安全集成到DevOps中,但它们可能不再适用,并在开发团队中造成摩擦。但在DevSecOps工具链中,有一些实例可以在工作流中实现自动化安全和风险评估工具,以解决差距并补充现有功能。
在这篇博客中,我们将看看在实现安全和风险评估工具时可以考虑的10个阶段,以减少摩擦并提高速度和效率,同时考虑自动化。
DevSecOps工具链:10个机会阶段
在DevSecOps工具链中,有10个机会阶段,您可以考虑在管道中哪些安全适合,以及需要哪些潜在的安全工具。最终,我们的目标是减少安全差距,同时采用新技术来减少摩擦,并通过自动化提高效率、速度和产量。
来源:Gartner®在DevOps中启用安全性的3个基本步骤报告
阶段1:计划
在DevOps工具链中?例如,“计划”阶段为开发生命周期奠定了基础。正是在这里定义了目标、范围和需求,因此很自然地,这也是考虑应该实现的安全性和合规性需求以及任何安全培训(特别是特定于工具的培训)的绝佳机会。
在此阶段还应该确定威胁建模,因为从已知的开始运行威胁模型比从头开始更容易,但它也将给开发人员在即将到来的管道中有一个干净安全的开始的机会。
通过花时间将安全需求集成到计划阶段,可以突出开发和安全角度关注的关键领域。这使得团队能够从一开始就做出明智的决定,将安全问题放在优先位置,从而在长期内节省时间和资源,并降低漏洞进入DevOps管道后期阶段的风险。
阶段2:创建
创建阶段的重点是开发和编写驱动应用程序和服务的代码。虽然速度和效率在这个阶段是至关重要的,但重要的是不要忽视安全性,因为这里引入的漏洞可能会导致严重的问题。因此,这是评估并在必要时实施与CI/CD管道直接集成的安全解决方案并努力减轻这些风险的最佳机会。
自动化安全工具可以在这里发挥作用,实时扫描代码,识别漏洞,并提供即时反馈。这可能包括常见的安全错误,如代码注入、身份验证问题或数据暴露。通过使用正确的工具,团队可以在开发的最初阶段纠正问题。
此外,您可以与安全教练或安全团队(对于跨多个迭代的新组件或更大的项目)和开源评审一起执行任何进一步的威胁建模和安全架构评审。
阶段3:验证
在验证阶段,我们看到焦点转移到确保代码和配置不仅是功能的,而且是安全的。这是一个扫描已知或重用代码中的已知漏洞和错误配置的机会,也可以扫描自定义代码中的未知漏洞。
可以考虑的解决办法是:
- 在下载组件时,可以使用具有治理功能的软件组合分析(SCA)来强制执行组织的开源软件(OSS)策略
- 静态应用程序安全工具(SAST)和动态应用程序安全工具(DAST)可以用来测试产品(或在遭受攻击时),它将生成可用于提高安全性或响应攻击的数据
- 移动应用安全测试(MAST)通过对客户端、服务器端和第三方应用的快速分析,探究移动应用中潜在的安全问题。
通过确保将这些原则应用到开发和交付管道中,这个阶段可能是在开发周期早期捕获潜在漏洞的关键机会。
阶段4:预制作
在部署前进行严格的测试时,预生产环境是一个需要考虑安全性的关键点,以确保在进入生产环境之前识别和缓解漏洞。
评估确定产品代码如何响应已知攻击和不确定测试的应用程序安全性测试解决方案。不确定性测试可能运行数周,但始终没有发现漏洞,也可能第一次测试就碰到漏洞。这反映了实际零日事件的性质。然而,由于DevOps强调迭代开发,与瀑布式方法相比,代码通过测试的频率更高。
即使没有具体的建议来执行定期测试,也应该始终这样做以保持安全态势。通过在这里实现安全自动化工具,团队可以主动解决安全问题,减少部署后发生安全事件的可能性。
阶段5:发布
发布阶段是工作流中的一个关键阶段,是软件或应用程序从开发和测试环境过渡到生产环境的阶段。到目前为止的所有阶段中,安全都是最重要的,以减少漏洞,这个阶段也没有什么不同,以确保发布过程不会无意中引入新的漏洞。
发布阶段的一个重要的安全措施是时间戳——通过将时间戳合并到发布过程中,组织可以维护每个部署的清晰和可审计的记录,促进可追溯性和责任性。它可以记录每个操作并记录精确的时间和日期,使其更容易检测和响应任何异常或安全漏洞。
更重要的是,时间戳可以帮助保持法规遵从性,使组织能够为审计目的演示软件发布和变更的全面时间表。时间戳对于自动化工具来说是一个理想的机会,它可以使过程更高效、更可靠,并减少人为错误的余地,全面增强发布阶段的安全态势,并最终增强开发周期。
阶段6:预防
在DevSecOps工具链中,这一阶段的主要重点是在安全威胁和漏洞影响系统之前主动防御它们。预防阶段强调在架构中构建强有力的安全措施的重要性,具体做法如下:
- 提供配置保证,以确认代码按预期运行,并满足发布到生产环境中的所有要求
- 实现应用程序控制和允许列表,以确保服务器工作负载正常运行
阶段7:检测
并不是所有的漏洞都能在开发过程中被发现,有些将不可避免地出现在生产环境中,有时DevOps文化的快速发展会造成安全盲点。然而,检测阶段可以通过持续监视环境中的任何安全漏洞、破坏或异常迹象来充当关键的保护措施。
安全工具在提供对系统安全态势的实时洞察方面可以发挥不可或缺的作用,包括:跟踪系统日志、网络流量和用户活动。通过自动警报和通知,这将使各小组能够迅速发现任何异常情况,并帮助他们迅速对新出现的威胁作出反应,缩短检测和缓解威胁之间的时间。
阶段8:回应
尽管采取了最好的预防措施,安全事故还是会发生。在响应阶段,组织可以使自己有效地处理这些事件,并减轻潜在的损害和最小化停机时间。
通过利用安全响应技术,团队可以通过使用API主动检测应用程序正在经历的攻击类型,促进适当的防御,并警报或记录攻击。这些工具可以实时工作,通过预定义的操作帮助提供快速和一致的响应。在此阶段中发现的任何信息都应该反馈到下一个生命周期的计划阶段,以呈现持续和强大的安全态势,同时最小化任何安全技术债务。
阶段9:预测
在工具链的这一阶段,重点从反应转移到主动预测和减轻威胁。与团队合作,使用检测和响应阶段的可见性和遥测来预测系统需要哪些对策来提高安全性。必须收集、分析和反馈来自攻击面的数据到产品规划周期中,以支持改进的威胁建模。这也将有助于增强对后续产品的安全需求的理解。通过在安全问题出现之前预测它们,DevOps团队可以采取预防措施并制定策略来加强防御。
阶段10:适应
即使在过去的9个阶段中使用了所有的安全工具,仍然不可避免地会遇到需要改进的地方。通过利用工具链中各个阶段收集的所有信息,这将通知下一轮的需求。适应阶段意味着对不断变化的威胁形势保持灵活和反应的重要性。这是重新配置和优化应用程序的最佳时机,以更好地支持产品的集成安全性,DevSecOps团队必须不断审查和改进他们的工具和实践,以确保敏捷性不受影响。
最终的想法
在DevOps工具链的10个阶段中,组织可以保持主动的安全态势,快速缓解威胁,并确保工作流在面对持续挑战时保持弹性和安全性。通过采用安全性和风险评估工具,可以获得战略优势,企业可以创建健壮的、有弹性的和敏捷的开发和部署过程。
通过这篇博客,我们展示了如何将安全融入DevOps管道的不同阶段,并帮助加强防御、识别漏洞和加快对潜在威胁的响应。随着DevOps的不断发展,将安全性融合到工作流中对于维护软件的完整性和可信性至关重要。拥抱自动化安全工具的力量,保护你的DevOps实践,促进创新,并在不断发展的数字环境中构建面向未来的组织。
最终,将安全性嵌入工具链是在DevOps中启用安全性的第一步。要了解在您的组织的DevOps文化中启用安全性的更多步骤,您可以点击此处免费访问Gartner®报告:启用DevOps安全性的3个基本步骤。
开始将安全性嵌入到您的工具链中
在这篇博客中,我们列出了10个你可以考虑在DevOps工作流程中实施安全的机会,但实际上你可以随时开始。GlobalSign可以帮助您克服安全挑战,并通过REST API帮助您开始证书生命周期管理。如果您想和我们团队讨论您的需求,请联系我们。
Gartner,在DevOps中启用安全性的3个基本步骤2023年3月1日,Daniel Betts等人。
GARTNER是GARTNER, Inc.和/或其关联公司在美国和国际上的注册商标和服务标志,并经许可在此使用。版权所有。
