• 0

  • 549

开发运维基础知识:五步实现安全性的标准化

虎哥

虎哥

3个月前

DevSecOps (将安全性融入到开发运维的过程中) 如果没有实现速度和扩展,则是不完整的。标准化安全性能够实现这一点。

实现安全性政策的标准化有着多种形式:法规遵从性访问控制可接受的用户政策作为代码的安全性自动化等等。总而言之,其中的理念是,你的安全性团队要确切地知道每个项目使用或应用了什么政策和方法

标准化的目标是一致性、可追溯性和可重复性。通过在所有工作中始终使用相同的安全性方法,安全性团队可以知道哪些受到了保护,哪些没有。这有助于他们在必要时应用额外的措施,使他们意识到任何所需的异常。确保安全性方式的可重复性有助于将安全性扩展到整个组织或企业,扩大采用度。

搭建一个标准化的安全性方案

一个整体的安全性方案应该由不同层次的政策和合规性组成。一些政策应该是应用在全公司范围内的,比如可接受的用户政策,有些政策将遵循 GDPR (欧盟《通用数据保护条例》) 或者 CCPA (《加利福尼亚州消费者隐私保护法案》) 的规定,还有一些政策将特定于你业务中的某些组织。

开发运维中的安全性标准化

DevSecOps 可以通过标准化的安全实践来可持续性地大规模执行。以下是实现你的所有开发项目的安全性标准化的五种方法。

  • 教育

为每一名员工提供安全培训和教育。拥有全公司范围内的安全措施有助于建立一个安全性企业文化,使员工在自己的工作中承担安全责任。标准化培训还可以提高对强制性政策的认识,并提醒员工为确保日常运维安全和保护客户而采取行动。

  • 协调

在开发、安全和运维之间协调一组预定义的安全性要求 (security requirements),这些要求可以编码到你的开发管道中,并应用到每个项目中。这些要求可以确保监管合规,推动安全的编码实践,触发危险信号或通知,以及对员工进行安全最佳实践方面的教育。

  • 身份验证

访问控制 (access control) 是任何安全框架的关键组件,应该加以持续监控和评估。通过密切关注谁需要访问哪些内容,你便能够围绕最关键的流程和资产筑起一道坚固的防护墙。这消除了对敏感数据的不必要访问,并有助于简化出现错误时的跟踪、恢复和补救工作。访问控制策略还可以通过增强身份验证需求来保护你的业务。

  • 集成

在开发管道中嵌入扫描和测试工具。静态和动态应用程序安全性测试 (即 SAST DAST) 可以设置为在每次提交代码时和在审查应用程序时运行。其他工具和测试包括 IAST (交互式应用安全测试)、fuzzing、许可遵从性、容器扫描和依赖项安全扫描等。将工具直接嵌入到开发管道中,可以让你确切地知道对代码进行了什么评估,以及尚未对代码进行什么检查。

  • 自动化

在 DevSecOps 中,自动化 (automation) 是标准化安全实践的真正关键,因为它能够实现快速、安全的大规模开发。有许多方法可以在你的开发管道内部和周围实现安全的自动化——关键是在自动化和手动干预之间找到适当的平衡。自动化策略应该作为护栏,指导开发从一个安全性检查顺利地进行到下一个安全性检查,但是它们还应该在需要时允许例外情况。这些自动化策略应该从代码扫描中自动生成报告,并将其合并到安全仪表板中以供审查。这有助于最小化人为错误和任何误报,生成一致的漏洞报告,并可用于衡量团队在安全编码预期方面的表现。通过减少临时策略和冗余工作,自动化还有助于防止过于复杂的安全性方案。

最佳安全性方案会改变

安全绝不会是一种“设置好就可以忘记”的实践。威胁环境在不断变化,外部规则将继续发展,而内部业务需求将始终使你保持警觉。虽然设置安全性标准将帮助你的团队管理工作负载,但需要不断地重新评估和更新这些标准。过时的安全实践甚至会破坏那些曾是最可靠的安全性方案,因此利用标准化和自动化节省的部分时间来规划未来是很重要的。

你的 DevSecOps 实践的效率如何?使用我们的 DevSecOps Maturity Assessment 来找到答案

了解更多有关 DevSecOps 的信息:

参考:

https://about.gitlab.com/blog/2020/07/20/devsecops-security-standardization/

声明:版权归原作者所有,发布文章仅为传递更多信息,不构成任何投资意见或建议。

GitLab

549

相关文章推荐

未登录头像

暂无评论