随着DevOps的发展,企业的数字化转型的需求也愈发强烈,DevOps大幅提升了企业应用迭代的速度。但同时,安全如果不能跟上步伐,不仅会抵消DevOps变革带来的提升,拖慢企业数字化转型的进程,还会导致漏洞与风险不约而至。所以安全能力在不同行业内受到的重视越来越高,软件开发内生的安全性成为评价企业DevOps成熟度水平的重要指标。
因此SecDevOps的概念应运而生,旨在将安全性嵌入开发过程中的每个部分;在SecDevOps中,责任不再完全是由安全团队来兜底,安全成为每个人的责任,安全柔性嵌入到开发及运维流程中,安全自动化能力的提升解决了人员成本过高的问题,人更倾向于安全运营方面,处理流程中遇到的问题。
安全测试会面临哪些问题?
安全问题反馈周期长、测试成本高、修复难度大,尤其在敏捷开发或者DevOps模式下,安全与开发的矛盾点会被放得更大。主要问题体现在以下几个方面:
-
难以精准定位漏洞原因;
-
同类安全问题的排查与修复耗时较长;
-
修复完成后要重新提交功能和安全测试;
-
修复方法引入新的安全问题后还要再重复一遍以上操作…
针对以上问题,通过secdevops的方案落地将有望得到改善!
元年在secdevops实践中的成果
发布前安全检查
发布前安全检查也就是通常所说的安全左移,目前我们采取的安全检查手段主要是静态应用安全测试(SAST)、应用依赖安全检查(Dependency Scanning)对自研代码进行安全扫描和测试。
使用安全组件分析(SCA)工具扫描代码中依赖的所有三方开源组件识别出已知漏洞并进行修复。
关于在rancher中组成k8s集群的docker容器安全扫描(Docker Container Scanning)目前正在进行规划。
与此同时,我们还将敏感信息检查(Secret Detection)和动态应用安全测试(DAST)作为次重点发展。此外,针对特殊项目还关注了应用安全检测(IAST)、模糊测试(Fuzzing)。
打造基于风险的漏洞管理体系
漏洞数据库(Vulnerability Database)的建立为研发团队内部开展安全测试提供了技术和理论支持,并为安全漏洞的修复提供理论指导和具备参考价值的信息。目前已维护web及源代码安全漏洞达100多个,漏洞库通过其漏洞收集、分析、通报和面向应用的工作机制,有效提升了元年应对来自外部安全威胁的能力和风险管理水平。
运营时纵深防御
在纵深防御方面,元年目前正在着力打造规范的安全信息网络,具体计划采取的措施有:
-
采用防火墙将内部可信区域与外部互联网分离,网络出口有防火墙,在DMZ区和服务器前端也建立防火墙,多个位置都采取安全措施;同时在服务器及客户端上安装防病毒检测软件,预防外部病毒的入侵;
-
通过“运维安全管理与审计系统”基于角色的访问控制,对用户、资源、功能作用进行细致化的授权管理,解决人员众多、权限交叉、资产繁琐、各类权限复制等运维难题,确保运维访问合规性控制,配合登录控制和操作审计共同保障信息安全。
DevOps追求的目标之一是要“快”,而安全保障工作却具有“快不起来”的特点。因为安全本身需要专业的知识背景,去分析攻击方式和潜在的安全问题。并且,即使使用工具,其技术栈也深于普通的检查工具,这意味着耗时会更长。比如,对源代码的静态检查(SAST),如果只是检查代码规范和质量,可以做到快速扫描(比如Sonar);但要进行安全编码的自动化检查(比如Fortify和CheckMarx),那么就需要进行流分析,甚至需要一个专门的编译过程来收集必要信息。
关于产品质量安全方面,公司已经积累了丰富的经验,但精益求精、艺无止境。我们将继续整合SecDevOps工具链,不断打磨技术,提升效率,避免产生权限控制、数据注入等类型的严重漏洞,从而更好的为客户提供优质产品和服务!
