近年來(lái)不少軟件安全事件成為了新聞頭條,無(wú)論是軟件開(kāi)發(fā)商還是普通消費者對軟件安全隱患都深表?yè)鷳n(yōu)。但也不要忽略了業(yè)界在軟件安全的努力和取得的成果。 在2020年即將到來(lái)之際,新思科技與業(yè)內專(zhuān)家探討在過(guò)去幾年對軟件安全產(chǎn)生積極影響的趨勢、流程和技術(shù)。
DevSecOps對軟件安全性的影響
-新思科技高級首席顧問(wèn)Meera Rao
對于希望轉向DevSecOps并構建安全的企業(yè)來(lái)說(shuō),以下三個(gè)關(guān)鍵領(lǐng)域對他們產(chǎn)生了巨大影響:
消除信息壁壘。不要等到錯誤和漏洞對應用造成破壞之后再修復它們,而應像對待DevOps流程中的任何其它錯誤一樣對待安全問(wèn)題。安全性不應是單獨存在的,不應該是開(kāi)發(fā)人員僅在發(fā)現安全性問(wèn)題時(shí)才能從中獲得反饋。此外,找到合適的協(xié)作自動(dòng)化工具以使開(kāi)發(fā)、質(zhì)量保證和安全團隊能夠一起工作是DevSecOps的重要組成部分。
促進(jìn)協(xié)作變革。企業(yè)希望彌補DevOps與安全性之間的差距,同時(shí)又保持生產(chǎn)率和解決方案上市速度,但他們通常沒(méi)有意識到整個(gè)企業(yè)都需要進(jìn)行更改。就像持續集成、持續交付和持續部署一樣,開(kāi)發(fā)、安全和運營(yíng)團隊之間也必須進(jìn)行持續的協(xié)作和溝通等等。
培訓和成就安全能手。通過(guò)建立培訓和安全支持者計劃,開(kāi)發(fā)團隊的成員可以通過(guò)指導、培訓以及與應用程序安全團隊密切合作,學(xué)習并自愿培養軟件安全技能和意識。這些安全能手們在第一線(xiàn)指導開(kāi)發(fā)團隊應用程序安全性,彌補DevOps與安全團隊之間存在的差距。
面向工具和解決方案的軟件安全趨勢
-道瓊斯產(chǎn)品安全總監Jay Kelath
我看到了兩種軟件安全趨勢,一種是在技術(shù)工具方面;另一種是工程方面。
在工具方面,大多數都集中在IAST(交互式應用安全測試)和DAST(動(dòng)態(tài)應用安全測試)上。這些新技術(shù)將徹底改變應用程序的安全性。
其次是以解決方案為導向的應用程序安全性。 AppSec團隊專(zhuān)注于發(fā)現問(wèn)題,然后讓開(kāi)發(fā)人員修復問(wèn)題。事情正在慢慢改變,現在正構建工程師可以使用的解決方案。
這就是道瓊斯的發(fā)展方向。我們正在嘗試面向身份驗證、加密和跨站點(diǎn)腳本編寫(xiě)這類(lèi)問(wèn)題的通用解決方案。
對于我們來(lái)說(shuō),面向特定技術(shù)開(kāi)發(fā)解決方案更容易,然后告訴開(kāi)發(fā)人員:“嘿,要使用身份驗證嗎?這里是一個(gè)庫、一個(gè)模式或一個(gè)要使用的工具。”這種以解決方案為導向的工程安全性越來(lái)越受到關(guān)注。
云+合規性=更完善的數據安全
-企業(yè)數據云公司Cloudera金融服務(wù)總經(jīng)理Steven Totman 和 Richard Harmon
混合云戰略始終承諾并提供更低的成本、更好的敏捷性、更高的運營(yíng)效率以及更靈活的適應新技術(shù)更新?lián)Q代的能力。金融機構面臨的最大問(wèn)題是,傳統的本地存儲與公共云和私有云的結合是否可以提供足夠的安全性和治理措施,以抵御欺詐和數據泄露的持續威脅。
具有諷刺意味的是,盡管混合云環(huán)境會(huì )因企業(yè)不斷在私有和/或本地環(huán)境與公共云之間移動(dòng)數據而帶來(lái)安全風(fēng)險,但它們仍可以實(shí)現更大的災難恢復和更高的數據安全性。因此,銀行將處于更好的狀態(tài)以實(shí)現合規性。這是因為將數據放在一個(gè)地方通常比在整個(gè)企業(yè)的多個(gè)信息孤島中分散保護起來(lái)更容易。此外,云供應商在確保數據安全方面有著(zhù)巨大的既得利益。
軟件安全及硬件安全的趨勢
-新思科技首席安全官Deirdre Hanford
除了需要安全的軟件(我們和其他幾家公司都在這一領(lǐng)域開(kāi)展業(yè)務(wù))之外,還有一種新興趨勢是確保基礎硬件也安全。新思科技有很大一部分業(yè)務(wù)是半導體設計,提供電子設計自動(dòng)化軟件工具和芯片設計構件。
我們越來(lái)越多地從合作伙伴那里聽(tīng)到,他們不僅希望構建像IoT設備這樣的超酷且功能強大的芯片,而且還需要安全的IoT設備。他們希望確保不僅在該芯片上運行的軟件是安全的,而且底層硬件也得安全。我的大部分職業(yè)生涯都是和硬件打交道,看到硬件團隊的需求中出現安全性,這使我倍感興奮。
GDPR條例的實(shí)施改善了網(wǎng)絡(luò )安全
-Check Point
《通用數據保護條例》(GDPR) 不可避免地重塑了歐洲(乃至全世界)企業(yè)如何處理網(wǎng)絡(luò )安全的模式。
企業(yè)采用全面的安全計劃,在設計階段將安全性深度集成到IT系統中,而不是在部署后進(jìn)行改進(jìn)。得益于此,企業(yè)將獲得一致且更強大的數據安全性。整合安全體系結構,將其嵌入平臺中并貫穿整個(gè)IT網(wǎng)絡(luò ),這通常在解決網(wǎng)絡(luò )安全事件和提升GDPR合規性方面更為有效。
軟件安全培訓日趨增多
-新思科技高級安全顧問(wèn)Mahesh Kukreja
企業(yè)越來(lái)越意識到安全問(wèn)題的重要性。對軟件開(kāi)發(fā)人員安全培訓的需求不斷增長(cháng),因此他們能夠從一開(kāi)始就構建安全軟件。隨著(zhù)越來(lái)越多的企業(yè)需要安全培訓,安全技術(shù)也將迅速增強。有些開(kāi)發(fā)人員對安全性仍然漠不關(guān)心(除非系統受到破壞),此類(lèi)的培訓課程有助于讓他們樹(shù)立“安全開(kāi)發(fā)”心態(tài)。
做好DevOps有助于提升安全性
-Puppet, CircleCI和Splunk,出自2019 State of DevOps Report
在整個(gè)軟件交付生命周期中集成安全性的公司更有可能在整個(gè)企業(yè)中貫徹DevOps實(shí)踐。
我們發(fā)現,在安全集成最高級別的公司中,有22%的公司已達到DevOps演進(jìn)的高級階段。DevOps的原理和安全性的原理有異曲同工之妙,能為軟件開(kāi)發(fā)帶來(lái)積極影響(包括文化、自動(dòng)化、評估和共享),能確保出色的安全性。
濃厚的DevOps文化還支持更強的安全性。共享的文化,團隊使用共同的工具進(jìn)行協(xié)作并朝著(zhù)共同的目標努力;交付團隊擁有強大的自治能力,但是跨企業(yè)邊界完成工作相對容易-- 這種文化可以使不同部門(mén)真正地擔負起共同的安全責任,可以盡早發(fā)現問(wèn)題并以最佳方式解決問(wèn)題。
編者注:
該文章為節選,全文請參考:https://www.synopsys.com/blogs/software-security/software-security-trends-devsecops/
