数据安全持续治理_在设计安全软件时，治理还不够

数据安全持续治理

在一个IT功能，工具和基础架构以前所未有的速度发展的世界中，很容易被向前迈进。 但是，企业开始意识到，尽管免费的开源代码和低成本的云基础架构无疑是有价值的，但对这些资源的无限制和不受监控的消耗却要付出高昂的代价。 现在是组织仔细研究如何管理风险的时候了。 否则，他们将面临增加的IT支出，降低的生产力以及竞争优势的丧失。 警惕和责任必须成为整个组织和负责选择和使用资源来设计，开发和部署软件的每位软件开发专业人员的生活方式。

我们所知道的安全性已经消亡了吗？

据大西洋理事会网络治安计划倡议主任约书亚·科曼说 ，这是一个可悲但不可避免的事实。 在软件开发领域，不能再期望安全团队在产品发布前简单地对其进行最后的修饰了。 必须从一开始就考虑安全问题，否则后果可能是致命的，尤其是在数字世界与现实世界的接触面超出大多数人甚至不知道的方式的情况下。

“软件不是在吞噬世界，而是在感染世界。 它像瘟疫一样蔓延。 我们正在将蓝牙和软件连接性纳入您生活中的一切。 作为知道每千行代码的缺陷率的安全人员，如果您要在汽车中放置1000万行，这已经不再是一件有趣的事了。 我们正在寻找影响我们家庭的事物，就像影响我们网络应用程序的事物一样。” 显然，使网络浏览器崩溃是一回事。 发生车辆系统崩溃是另一回事。

挽救生命显然是重新考虑软件安全性的一个值得考虑的理由。 企业也有动机从纯粹的财务角度认真对待风险管理。 Heartbleed和Shellshock确实表明，对细节的关注不足会导致大量计划外，计划外的工作。 Corman说，每年，一些组织花费数百万美元来修复应该在部署之前发现的漏洞。 “现在，他们的项目迟到，超出预算，上市晚了，而且正在输给竞争对手。”

在开源是开放季节

根据Corman所说，开源是一个公共卫生问题。 “共享价值带来了共同的风险。” 但是太多的公司仍然没有意识到这种危险。 即使存在已知的可用修复程序漏洞，也有很大比例的组织没有采用修复程序。 约书亚（Joshua）描绘了一个严峻的画面，即未能采取预防措施会对公司造成什么影响。

“软件不是在吞噬世界，而是在感染世界。 它像瘟疫一样蔓延。”

在他提出的方案中，典型组织使用的代码中约90％是第三方，而大多数是开源的。 大多数团队估计，平均一个应用程序中大约有50个独特的组件。 但是实际数量超过了100个组件，因为每段开源代码都可能选择其他下游依赖项。 在这些组件中，有23％具有已知修复程序的漏洞。 另有8％的人拥有限制性许可，这可能会导致诉讼。 即使应用程序组合很小，并且每年仅出现10％的问题，Corman估计企业很容易在浪费的工资和计划外的工作上花费25万美元。 “那是可以花费时间和金钱为客户提供价值的东西。” 当然，不良的代码卫生并不是企业可能浪费大量现金的唯一原因。

IT治理的作用

使用免费的第三方代码是一个棘手的风险管理问题。 但是，对有偿资源的治理是一个比较平淡的问题，在失去控制之前，也很容易被忽视。 随着各种团队争夺资源，并逐渐意识到云成本不断下降，很容易在没有获得每美元支出的最大回报的情况下突破IT预算。 仅监控支出是不够的。 在自助服务环境中，必须有一种方法来管理和分配资源以更好地与业务目标保持一致。

Iron.io的联合创始人兼首席执行官Chad Arimura在遗留和现代IT必须共存的时代分享了以下有关治理的想法。 “我们看到大多数创新发生在业务部门内部。 我们肯定听说过“双峰IT”，其中包含诸如CRM和ERP这样的遗留应用程序。 那里的任务主要是保持灯亮，或者将它们移动到云端。” 这些区域具有相当可预测的资源需求和工作量。 改进的主要重点通常是以更低的成本执行相同的操作。 不太可能需要启动服务器以进行应用测试或使用云爆发来管理大量流量。

“在公司的另一侧，您的这个团队正在创新，构建新功能和新功能并将其交付给企业用户。 在那儿，治理很重要，企业正在努力实现容器和云战略的实施，如何使开发人员能够在仍在治理模型内工作的情况下创建这些应用程序。”

尽管细节有些模糊，但企业至少可以使用一些产品来更好地控制支出习惯，而不会造成不必要的延迟。 “这是一个围绕治理的勇敢的新世界。 这就是Iron.io之类的工具的出现，它使您可以监视和自我描述要为应用程序花费的基础架构支出。 然后，开发人员可以从开放式堆栈或AWS的各种托管提供程序中在该模型内进行自助服务。 您将获得一定数量的基础架构，然后可以在企业已建立的治理框架内建立基础架构。”

同样，Atlassian采取了行动，通过完善其CI平台的管理权限来支持DevOps中更好的治理。 Bamboo的项目负责人Allison Huselid表示：“我们知道大型团队会发疯，因此现在您可以锁定谁可以访问添加更多存储库或项目的权限。 这样，配置不会失控，但分配的权限也可以防止请求成为瓶颈。”

企业必须为前所未有的计划

归根结底，Gartner可能在其2016年的出版物《以数字业务的速度管理风险和安全性》中说得最好。 不可能预见所有即将到来的情况，但是组织至少应该设法使自己的想法变为现实。 “假设明天会和今天一样，或者只是稍有不同，这本身就是一种风险。 在早期阶段，很少有数字业务最佳实践（包括风险管理），而大多数只是“下一个”实践。 为了取得成功，企业将不得不开拓创新。 为了具有韧性，他们将需要超越寻常，想象对前所未有的，似乎合理的情况的React。”

在治理和安全领域，为响应Swift的未来做准备首先要了解当前的情况。 这意味着组织必须认真，痛苦地研究当前的不足和浪费的习惯，并着眼于有意义的变革。 在他在DevOps峰会上的最后总结中，Corman建议软件开发团队应遵循类似于Toyota使用的模型。 如果组织选择从一些高质量的供应商那里选择代码，使用最新的版本，并跟踪哪些部分在哪里，那么他们将在更好地掌握风险管理和安全性的道路上前进。 好消息？ 这些最佳做法不应阻碍业务发展。 他们将帮助推动它向前发展。

翻译自: https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/Governance-isnt-enough-when-it-comes-to-designing-secure-software

数据安全持续治理