在過(guò)去幾年中，在應用程序平臺和第三方庫中發(fā)現的漏洞越來(lái)越引起人們對應用程序安全性的關(guān)注，這給 DevOps 團隊帶來(lái)了檢測和解決其軟件開(kāi)發(fā)生命周期 (SDLC) 漏洞的壓力。

以 NVD（國家漏洞數據庫）為例，它跟蹤和記錄軟件供應商發(fā)布和披露的所有重大漏洞。它發(fā)現在過(guò)去五年中發(fā)現的漏洞數量呈增長(cháng)趨勢， 僅在 2021 年就記錄了驚人的 20,136 個(gè)漏洞（與上一年相比增加了 9.7%）。

同時(shí)，CISA（網(wǎng)絡(luò )安全和基礎設施安全局）指出，在隨著(zhù)時(shí)間的推移記錄的所有漏洞中，威脅參與者目前正在利用 504。那么這一切對開(kāi)發(fā)人員意味著(zhù)什么，我們如何才能提高 SDLC 的安全性呢？讓我們從基礎開(kāi)始：

什么是 SDLC？

開(kāi)發(fā)團隊采用一種 SDLC 形式來(lái)構建他們的流程并始終如一地獲得高質(zhì)量的結果。從這個(gè)意義上說(shuō)，SDLC 只不過(guò)是一個(gè)定義構建應用程序過(guò)程的框架。它跨越了應用程序的整個(gè)生命周期，從規劃到退役。

自傳統瀑布模型以來(lái)，出現了不同的 SDLC 模型，其中更健壯的 CI/CD 和敏捷模型在當今流行度最高。但他們的目標往往是相似的：盡可能快地生產(chǎn)出高質(zhì)量、低成本的軟件。

安全 SDLC (SSDLC) 如何工作？

安全軟件開(kāi)發(fā)生命周期 (SSDLC) 將安全組件引入生命周期，從而為開(kāi)發(fā)人員提供了一個(gè)框架，以 確保安全是軟件開(kāi)發(fā)每個(gè)階段的考慮因素， 而不是事后考慮。這種方法可以防止稍后在生產(chǎn)環(huán)境中出現漏洞，從而降低修復它們的成本。

安全軟件開(kāi)發(fā)生命周期示例定義了有助于在每個(gè)開(kāi)發(fā)階段保護軟件的最低安全控制。每個(gè)階段都需要專(zhuān)門(mén)的安全測試工具和方法，并將繼續貫穿每個(gè)軟件版本的所有階段。

提高 SDLC 安全性的最佳實(shí)踐

安全 SDLC 實(shí)踐旨在解決共享的安全問(wèn)題，包括：

1. 修復軟件部署后修復成本高昂的反復出現的漏洞
2. 設計和架構中的安全問(wèn)題
3. 解決集成到更大系統中的組件內的安全問(wèn)題

順便說(shuō)一句，讓我們看一些提高 SDLC 安全性的最佳實(shí)踐：

擁抱心態(tài)轉變

左移思維旨在將 傳統上在生命周期后期完成的安全實(shí)踐（例如測試組件）帶入開(kāi)發(fā)的早期階段。換句話(huà)說(shuō)，我們已經(jīng)從 DevOps 發(fā)展到 DevOpsSec，再到 DevSecOps—— 所有這些都是通過(guò)將“Sec”移到左邊來(lái)實(shí)現的。但言行一致需要的遠不止這些。要完全接受左移心態(tài)，請嘗試：

1. 在 SDLC 中建立一個(gè)擁有跨不同領(lǐng)域的知識淵博的成員的團隊
2. 促進(jìn)整個(gè)組織內各個(gè)團隊之間的協(xié)作，以更全面地考慮安全性及其對您的業(yè)務(wù)意味著(zhù)什么
3. 考慮到威脅總是在不斷發(fā)展，您的安全優(yōu)先級和策略也應該不斷改進(jìn)流程

使用具有常識的威脅建模

威脅建模是一個(gè)在 SDLC 可能的最早階段研究系統設計、它們如何運行以及數據如何在所有系統組件內部和之間流動(dòng)的過(guò)程，旨在識別所有可能的利用途徑。進(jìn)行威脅建?？纱_保架構設計和開(kāi)發(fā)能夠解決所有已識別的安全漏洞。

但是威脅建模通常需要相當長(cháng)的時(shí)間才能完成，因為它需要人工來(lái)確定所有可能的攻擊途徑。反過(guò)來(lái)，當 SDLC 的幾乎每個(gè)組件都是自動(dòng)化的并且期望每個(gè)階段都能快速完成時(shí)，威脅建?？赡軙?huì )成為開(kāi)發(fā)過(guò)程的瓶頸，新版本每?jì)傻剿闹芫蜁?huì )發(fā)布一次。因此，建議使用具有常識的威脅建模。雖然列出所有可能的攻擊途徑是件好事，但要提防陷入可能阻礙生產(chǎn)而不是支持和保護生產(chǎn)的兔子洞。

利用開(kāi)源、開(kāi)發(fā)人員優(yōu)先的工具

利用開(kāi)源工具是降低成本同時(shí)確保您不會(huì )在安全性方面妥協(xié)的最簡(jiǎn)單方法。但是，如果開(kāi)發(fā)人員實(shí)際上不想使用便宜的工具，它又有什么用呢？

Teller 是開(kāi)發(fā)人員的出色生產(chǎn)力秘密經(jīng)理，如果您正在尋找靈感，它支持云原生應用程序和多個(gè)云提供商。它可以讓您在編碼、測試和構建應用程序時(shí)快速、輕松、安全地混合和匹配保管庫和其他密鑰存儲，并使用機密。

另一個(gè)值得注意的安全工具箱開(kāi)源工具是 tfsec：一個(gè)靜態(tài)分析代碼掃描器，可以識別 Terraform 代碼模板中的潛在安全問(wèn)題。

盡早檢查第三方組件造成的漏洞

第三方組件是開(kāi)發(fā)人員在無(wú)需自己開(kāi)發(fā)整個(gè)功能的情況下將附加功能引入其應用程序的快速簡(jiǎn)便的選擇。

盡管這些組件可能很便宜，但它們確實(shí)是有代價(jià)的：它們可能會(huì )間接地將漏洞引入應用程序。因此，最好在您的安全評估中盡早檢查這些組件是否存在漏洞，然后再始終如一地檢查這些組件。

換句話(huà)說(shuō)： 掃描一切！ 掃描代碼、 配置、二進(jìn)制文件或代碼庫中的任何其他材料，以發(fā)現明顯可見(jiàn)和隱藏的問(wèn)題。需要一些幫助嗎？ 我們的掃描技術(shù) 與編程語(yǔ)言無(wú)關(guān)，支持 500 多種不同的堆棧。

掃描所有軟件層的錯誤配置

當今市場(chǎng)上可用的大多數安全錯誤配置檢測工具往往側重于掃描軟件基礎設施中的錯誤配置，但不涵蓋數據層和應用程序框架層中存在的錯誤配置。我們的 DeepConfig 解決方案可填補這一空白。它提供端到端的軟件覆蓋，包括基礎設施、數據和應用程序框架層。該工具用于在眾所周知的解決方案中搜索潛在的錯誤配置，例如：

• 基礎設施和數據層： Elastic、MySQL、Redis、Memcache 等。
• 應用程序緩存層： Rails、Django 等。

結論性想法

最終，SDLC 的安全性將取決于 DevOps 團隊可用的性能、動(dòng)力、技能和工具。讓我們面對現實(shí)吧：DevOps 團隊發(fā)現自己處于兩難境地，不得不以越來(lái)越快的速度工作，經(jīng)常過(guò)度緊張，還必須處理可能會(huì )降低性能的安全性 和合規性 問(wèn)題。這是一個(gè)具有挑戰性的循環(huán)。這就是為什么我們在構建安全解決方案時(shí)牢記開(kāi)發(fā)人員的優(yōu)先事項，以幫助他們保持控制并確保他們的組織安全。我們尊重您的 CI，確保平均大小的存儲庫只需幾秒鐘即可掃描 CloudGuard Spectral。 檢查出來(lái)。