聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
如果说 DevOps 代表的是继续向客户提供价值的人、流程和技术的结合,那么 DevSecOps 代表的就是价值与安全的融合。在 DevOps 中集成安全实践的哲学显然是明智的(也是必要的),但通过附加另外一个标签,可能我们会承认这一点:尽管尽了最大的努力,这种“融合”更像是一种乳化。
DevSecOps 在整个开发流程中集成了具体的安全因素和能力;“安全即代码”是开发和安全等团队的信条。但如果你仔细观察,就会发现 DevSecOps 的安全因素是离散的,就像悬浮在美味香醋中不相溶的微小油球:它们融入而非悄无声息地缠绕于DevOps 的结构中。
如今,DevSecOps 的核心功能大体可分为两类:一类是在整个持续集成和持续部署 (CI/CD) 工作流中对已知和潜在安全缺陷的自动化检查和封闭式防御;另一类是对由部署和周边防护技术生成的安全遥测的运行监控和响应。
我们理所当然地通过离散的安全工具集层来保护来自 CI/CD 工作流的应用程序,监控、警报并理想化地防御各种威胁类别,但实际上从外部而非内部防御这些威胁更为经济也更为可靠。这些安全层几乎总是独立于它们所防御的应用程序进行运行。而如果我们要“提升”安全,将 DevSecOps 回滚到 DevOps,则需要改变这种情况。
尽管安全运营 (SecOps) 团队极大地提升了管理并响应由其外围、服务器和行为防御系统生成的警报效率,但如果企业想要成功地应对不断发展的威胁(如 Adversarial AI、数据湖污染和行为投毒),则仍然有必要将同样的遥测、响应工作流和决策集成到 CI/CD 工作流和应用程序本身。
现在有太多的 DevSecOps 工作流依赖的是身居其中的人,它们是“线缆内的块”,当竞争对手转向新型的自动化攻击或基于 AI 的攻击和利用模式时,系统攻陷和数据泄露事件将先于修复方案创建、防御调整和补丁应用(反复)发生。
未来将超越“保护代码安全”和“保护应用程序安全”的独立操作,迈向自防御应用程序的时代。这听起来似乎很宏伟,但向能够自我防御的应用程序发展少不了某些核心元素和机会。
源自保护应用程序的安全技术遥测对于应用程序和 CI/CD 工作流而言是可用的和可消费的。
应用程序必须知道当遭受攻击时,可以检查或警报哪些外部安全工具和监控器,以及在可能的情况下具有做出响应的能力。例如,某应用程序或能够以本机安全的方式解析资金转账请求,但通过了解到WAF已经识别并拦截在之前500毫秒内的同样会话中因恶意 SQL 注入 payload而导致的此前 12 次HTTP POST提交,它就能利用处理第13次转账和用户会话的信息,而这可能是通过虚假和有证据的可追踪的响应欺骗攻击者实现的。
安全技术需要能够标准化威胁和行为的术语、严重性和影响。新一代基于云的 SIEM 通过对数据连接器和遥测的标准化,能够提供一定程度的(针对供应商)标准化,并且能够作为 CI/CD 和应用程序消费的实时安全遥测的来源。应用程序开发框架需要理解该术语,并且在理想情况下应预先配备库和函数,以最佳实践进行响应。
CI/CD 工作流中越来越多地应用和融合AI,能够加快工作流响应安全遥测的速度。例如,某基于服务器的安全代理发现了一个内存溢出和后续不必要的进程启动,而 SIEM 能够重构该会话序列以突出显示事务字符串 (0day exploit)。智能的自动化 CI/CD 进程应该能够利用该信息识别易受攻击的代码并更正该逻辑缺陷或 bug,并在无需开发人员参与的前提下通过修复方案对实时应用程序进行更新。
安全责任必须而且也将继续“左移”。为此,安全遥测需要既可访问并可被集成到应用程序和 DevOps 工作流中,而开发人员本身对于信息集成感到自在且知识渊博。更好的开发人员工具(例如安全的编码语言和框架、可访问的最佳实践库和函数、以及智能在线开发人员指南和更正工具)将有助于缩小这种差距。
人工智能和机器学习技术与CI/CO 工作流集成的快速发展将能够提高安全集成和安全部署的速度。虽然仍然有很多工作需要做,但创新型公司仍然有巨大的机会为这个进程增加重大价值。
同时,首席安全信息官们和 DevOps 领导者们应大力推进能够消除 CI/CD 工作流中人为障碍的技术和流程的发展。竞争对手正在快速开发完全自动化和自主的攻击引擎。不久之后,防御和响应的速度将以毫秒而非现在的天和周为计算单位。
推荐阅读
DevSecOps系列文章第7篇《DevOps和安全:改变文化凝聚开发、安全和运营》
原文链接
https://www.securityweek.com/advancing-devsecops-future
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~
1376
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
