對(duì)話新思科技:DevOps集成對(duì)于改善應(yīng)用安全計(jì)劃至關(guān)重要

9月24日消息(岳明)如今,我們每個(gè)人的日常生活和工作都離不開各種各樣應(yīng)用程序。這些應(yīng)用程序承載了海量的個(gè)人隱私信息和工作重要內(nèi)容,因此其安全性變得愈發(fā)重要。在美國(guó)新思科技近日發(fā)布的《現(xiàn)代應(yīng)用程序開發(fā)安全》報(bào)告中,我們了解到了安全團(tuán)隊(duì)對(duì)應(yīng)用程序開發(fā)和部署的具體實(shí)踐,以及需要采取哪些安全措施才能夠降低其中的風(fēng)險(xiǎn)。

“研究表明,43%的受訪者表示DevOps集成對(duì)于改善應(yīng)用安全計(jì)劃至關(guān)重要。”新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁在介紹這份報(bào)告時(shí)表示,“盡管大多數(shù)組織認(rèn)為他們的應(yīng)用程序安全計(jì)劃是可靠的,但并沒有一個(gè)具體的指標(biāo)來證明他們確實(shí)做的還不錯(cuò)。”

值得注意的是,AppSec已上升為企業(yè)安全投資類別中的優(yōu)先項(xiàng),超過一半的受訪者表示計(jì)劃在未來12個(gè)月內(nèi)大幅增加應(yīng)用程序安全的支出。這與新思科技幾年前就開始推行的概念呈現(xiàn)出吻合。同時(shí),安全“相左移”的理念也開始越來越被行業(yè)所理解和接受??偠灾?,這項(xiàng)研究的關(guān)鍵洞察凸顯了企業(yè)需要在整個(gè)開發(fā)生命周期中全面處理應(yīng)用程序安全。

報(bào)告主要發(fā)現(xiàn)

·大多數(shù)組織認(rèn)為他們的應(yīng)用程序安全計(jì)劃都是可靠的,盡管許多組織仍然會(huì)提交易受攻擊的代碼。69%的受訪者將他們現(xiàn)有計(jì)劃的有效性評(píng)為8分或更高分,評(píng)級(jí)從0分到10分(其中10分表示最有效)。但是,由于近一半的企業(yè)仍然定期提交易受攻擊的代碼,因此大多數(shù)組織在過去12個(gè)月遭受到OWASP Top 10漏洞入侵其生產(chǎn)應(yīng)用程序。

·DevOps集成是改進(jìn)的關(guān)鍵要素。超過四分之一的受訪者表示他們現(xiàn)在的應(yīng)用程序安全工具增加了摩擦并減緩了開發(fā)周期,而23%的受訪者則認(rèn)為與開發(fā)/ DevOps工具的不良集成成為最常見的挑戰(zhàn)。此外,26%的受訪者指出,不同的應(yīng)用程序安全供應(yīng)商的工具之間是否存在集成困難或缺乏集成是常見的應(yīng)用程序安全挑戰(zhàn)。

·開發(fā)人員在應(yīng)用程序安全中扮演重要角色,但是他們?nèi)狈记珊团嘤?xùn)。近三分之一(29%)的受訪者表示,企業(yè)內(nèi)的開發(fā)人員缺乏用現(xiàn)有的應(yīng)用程序安全工具解決問題的知識(shí)。而且僅僅17%的受訪者表示他們的開發(fā)人員利用其安全工具中提供的即時(shí)培訓(xùn),只有29%的受訪者被要求每季度至少參加一次培訓(xùn)。

·企業(yè)計(jì)劃增加應(yīng)用程序安全支出。超過一半(51%)的受訪者表示計(jì)劃在未來12個(gè)月內(nèi)大幅增加應(yīng)用程序安全的支出。44%的受訪者計(jì)劃將應(yīng)用程序安全投資瞄準(zhǔn)云端。

·AppSec工具的激增正在推動(dòng)許多組織投資于工具整合。許多組織在努力整合和管理現(xiàn)有的工具,這往往會(huì)降低安全計(jì)劃的有效程度,并需要安排過多資源來管理工具。72%的受訪者使用的工具超過10種,復(fù)雜性成為了一個(gè)關(guān)鍵問題,因此超過三分之一的受訪者將投資重點(diǎn)放在了整合上面。

DevSecOps落地面臨挑戰(zhàn)

將安全結(jié)合DevOps之后,就被稱為DevSecOps。當(dāng)把安全集成進(jìn)去后,整個(gè)DevOps運(yùn)轉(zhuǎn)的流暢是應(yīng)用安全計(jì)劃成功與否關(guān)鍵點(diǎn)。絕大多數(shù)受訪者都希望進(jìn)一步提升安全工具的集成的水平。

在被問及DevSecOps如何進(jìn)行落地時(shí),楊國(guó)梁舉例談到,在落地的過程中工具一般會(huì)發(fā)生一些問題,假設(shè)10個(gè)問題中有5個(gè)問題都是噪聲,那么要把這些結(jié)果推送給開發(fā)人員的話,就必須確保推送內(nèi)容是非常有價(jià)值的,噪聲是很低的,不然就拖慢了開發(fā)人員的開發(fā)進(jìn)度。

其次,加了一個(gè)新的工具進(jìn)來,如果研發(fā)人員配合度高,愿意學(xué)習(xí)怎么用就好很多,但是研發(fā)壓力非常大,如果人員配合度比較低,應(yīng)該怎么把它通過技術(shù)化的手段,讓研發(fā)人員感覺不到集成了一個(gè)工具,讓他們只看到一些噪聲非常低、非常有價(jià)值的結(jié)果,并且在短時(shí)間內(nèi)能拿到這些結(jié)果,這是在技術(shù)層面能夠更好地實(shí)現(xiàn)DevSecOps落地的實(shí)踐經(jīng)驗(yàn)。

“落地的過程中,研發(fā)人員可能不愿意加(安全性方面)這種東西,認(rèn)為造成了額外的工作量。我們需要想辦法讓研發(fā)人員不抵觸。從技術(shù)上來說,你要給他一些有信服力的答案,從流程上來說,可以找一個(gè)配合度高的團(tuán)隊(duì),先把這些流程工具逐步的搭建起來,讓大家看到效果之后,認(rèn)可了它的價(jià)值,再一步一步去推廣。”他表示。

對(duì)此,楊國(guó)梁提出,可以針對(duì)不同的人、角色、利益出發(fā)點(diǎn),做針對(duì)性的培訓(xùn)。企業(yè)可以開展一些自己的流程、策略上的安全培訓(xùn),同時(shí)包括新思科技這樣的第三方安全廠商可以針對(duì)編碼方法、滲透測(cè)試等更專業(yè)的安全問題進(jìn)行培訓(xùn)。

再談安全“向左移”概念

談及現(xiàn)在業(yè)界廣為接受的安全“向左移”概念,楊國(guó)梁在接受C114采訪時(shí)表示,“這個(gè)概念其實(shí)我們很多年前就已經(jīng)提出來了,也很欣慰看到現(xiàn)在終于大家都開始接受,并且在探討如何開始左移。我們最早提出來左移的概念,根本的邏輯是一個(gè)投入產(chǎn)出比的比較,在靠后的階段發(fā)現(xiàn)一個(gè)安全漏洞和靠前的階段發(fā)現(xiàn),花費(fèi)的成本和代價(jià)是天壤之別,所以向左移的核心思想,就是盡早的發(fā)現(xiàn)安全問題。”

他談到,現(xiàn)在討論的是如何在技術(shù)層面實(shí)現(xiàn)向左移,之前我們?nèi)狈玫募夹g(shù)手段,不能在更早的階段發(fā)現(xiàn)一些安全問題,但我們現(xiàn)在不斷在完善相關(guān)的手段,比如白盒檢測(cè)和軟件組成分析等,都對(duì)安全左移實(shí)現(xiàn)了很大的突破。

同時(shí),他告訴我們,根據(jù)新思科技與一些頭部廠商的嘗試合作,將新思科技的不同工具融入進(jìn)他們的辦公流程中,其中一些最佳實(shí)踐逐步變成了業(yè)界的主流方法。目前國(guó)內(nèi)企業(yè)對(duì)DevSecOps非常注重,并且進(jìn)展良好。

當(dāng)被問及DevSecOps是否更適合某些特定的行業(yè)時(shí),他強(qiáng)調(diào),技術(shù)本身并不挑行業(yè),只是一些行業(yè)的業(yè)務(wù)性質(zhì)決定了它更適合DevSecOps。“像互聯(lián)網(wǎng)行業(yè),集成持續(xù)部署的速度可能是一小時(shí)、一分鐘甚至十幾秒,行業(yè)性質(zhì)天然就決定了DevSecOps對(duì)它更適合,因?yàn)槠錁I(yè)務(wù)的模式就是率先搶占市場(chǎng)。但如果是工業(yè)控制類的軟件,速度可能并不是最重要的,重要的是穩(wěn)定性。當(dāng)然,如果技術(shù)條件允許的話,也可以考慮DevSecOps。”他分析道。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2020-09-24
對(duì)話新思科技:DevOps集成對(duì)于改善應(yīng)用安全計(jì)劃至關(guān)重要
對(duì)話新思科技:DevOps集成對(duì)于改善應(yīng)用安全計(jì)劃至關(guān)重要,C114訊 9月24日消息(岳明)如今,我們每個(gè)人的日常生活和工作都離不開各種各樣應(yīng)用程序。這些應(yīng)用

長(zhǎng)按掃碼 閱讀全文