当新冠肺炎疫情发生时,许多公司不得不迅速改变他们的商业模式。事实上,许多人开始忽视一些安全问题,这些问题是权衡快速发展周期和为客户提供新功能。是时候回顾一下安全政策和标准,以及如何最好地将它们整合到敏捷的发展过程中了。
如今,许多组织面临的最大挑战是,安全团队几乎总是与工程和运营组织分开。随着云和云原生技术的出现,安全团队需要集中管理、监控和处理工程团队的工作流。
为了在工程组织中建立安全思维,安全团队必须为工程团队提供适合其工作流程的工具。如果安全团队的解决方案只是将包装代码放在安全团队要求的工具上,它将成为一种额外的管理技术,可能会减慢进度。
将安全融入敏捷和 DevOps 的工作方式
许多人认为,当安全被纳入过程时,速度会下降,但这是一种误解。如果安全策略和闸门没有集成或自动化到软件交付系统中,上市时间通常会延迟。即使有一个集中的安全团队,让他们成为敏捷的开发过程和整个 DevOps 转型之旅的一部分也将帮助所有团队更快、更有效地解决安全问题。
DevOps在很大程度上,它被象征为一个无限的连续反馈回路的概念。如果我们把安全实践放在这个无限的符号上,安全策略将从头到尾整合起来--规划、构建、配置、测试、分析和监控。它描述了一组可以分配给不同应用程序团队的共同目标,使他们能够拥有一些安全策略,而不是一个集中的团队。
以下是一些步骤和做法需要考虑:
●首先,工程和运营团队需要预测威胁,不仅在应用程序层面,还在基础设施层面。回应问题很麻烦,团队需要积极应对。这是人们现在创造的一种心态,在新冠肺炎疫情刚刚发生的时候并不一定存在。
●集中或联合的安全模式是实用的,但不能在第一天实施。在建立这种组织模式之前,它必须逐步改变,以了解软件交付管理的整体观点。就像敏捷一样,它是一个需要随着时间的推移进行审查和改进的框架。
●构建定义静态代码分析、动态代码分析和代码漏洞监控所需的关键安全策略的通用方法。这些政策可以从平台的角度实现应用团队的自动化和协调。这使得安全领导者更容易从这些不同的团队中获得可见性和洞察力。它还创建了一个必要的反馈循环,以及如何改进。
●提供 API 集成是平台方法的一部分——将代码从开发环境推送到生产环境将有助于简化工程团队的工作流程,而不必担心每个阶段添加的安全技术,因为它已经集成到系统中。无代码或低代码平台可以更容易地插入安全工具并运行。
●无论您是否授权项目和运营团队选择工具,一种新兴的方法是使用可扩展的、无代码的集成安排平台来补充项目和运营流程。这将遵循安全实践,并以其交付软件的速度进行管理和维护。
●研究每个应用程序的情况,包括使用技术,以及消费者如何使用解决方案。这为所有应用程序创建了一条基线,而不考虑技术、云基础设施、平台等。这将有助于从安全威胁的角度消除误报,并为后续步骤提供更清晰的图片。如果误报始终是强制性的安全补救措施(即使可能不是实际威胁),软件交付的速度也会受到影响。
例如,使用 Spring Boot 微服务和 Node.js。在 Spring Boot 微服务中,你可能会有很多误报,作为一个高度警惕的关键漏洞。实际上,这些并不是阻止代码部署到生产的关键漏洞。这种考虑必须循环到安全策略中,以了解它的需求、授予异常并管理未来的安全异常。这提供了管理异常的基线,以允许代码首先投入生产。如果安全团队因为此类误报而继续停止流程,并且不了解应用程序环境和业务需求,那么安全性可能会成为执行团队和整个企业的麻烦事。
预料到陷阱,避免它
最常见的陷阱是安全团队对应用环境了解不够,如何影响公司的产品组合和平台环境。安全团队需要在所有这四种情况下进行培训,以了解需要实施哪些政策和标准。
从软件工程的角度来看,人们总是在提高速度。然而,战略思维安全框架并不总是这种思维方式的一部分。
集中的安全团队经常推动为每一段推送到生产中的代码制定政策。但安全团队可能不提供API例如,集成使这个过程更容易。仅仅实施安全策略是没有好处的。
最后,目标是在集中安全团队和软件工程团队之间建立伙伴关系DevOps转型之旅的承诺。为了确保开发和部署的独特代码是安全的,需要一个渐进的学习过程,更多地了解应用团队和软件交付系统的需求。只有这样,我们才能在此基础上建立一个安全框架。这种方法和思维的演变将使我们更容易适应未来的新威胁,并在这个不确定的时代提供企业所需的可见性和控制。