作者:新思科技软件质量与安全部门资深策略策划师Taylor Armerding
参加世界上任何一个重要的安全会议,您都会经常听到这样的评论:企业提高其软件安全性的最佳方法是使开发和运营团队能更轻松地将软件“内置安全性”。
这一论点在全球性安全大会RSA上也得到验证。RSA 2020安全大会在美国旧金山举行,期间有一场“DevOps Connect:DevSecOps Days”全天系列会议备受瞩目,通过小组讨论和主题演讲等形式探讨企业如何将安全更加无缝地内置到软件开发和运营中。
新思科技是该系列会议的赞助商,在RSA大会上宣布了近期的新举措,以支持DevOps的安全组件更加易用。
首先,新思科技发布Polaris软件完整性平台的重大更新,通过Code Sight IDE 插件的本机集成将其静态应用安全测试(SAST)和软件组成分析(SCA)的功能扩展到开发人员的桌面。这些功能在同类解决方案中是史无前例的,将使开发人员能够主动查找并修复专有代码中的安全缺陷以及开源代码依赖项中的已知漏洞,而无需离开他们的交互式开发环境(IDE)。
简而言之,这将使得软件构建更加安全、简易和快速。
新思科技产品营销总监Patrick Carey指出开发团队与安全之间持续存在紧张关系的原因:开发人员将安全视为“具有破坏性的”。
为什么这么说呢?在标准工作流程中报告缺陷时,开发人员已移至下一个任务。要纠正问题,他们必须中断正在做的事情,然后返回,重新打开代码,进行修复,然后重新测试。
但是,最新版本的Code Sight IDE 插件通过帮助开发人员在构建软件时发现并解决专有和开放源代码的问题来解决这个冲突,而不是切换工具或中断他们的工作流程。
Patrick Carey表示:“这将从根本上改变开发人员在开发过程中检测、分析和补救安全风险的方式。”
再者,新思科技已完成对Tinfoil Security的收购。Tinfoil Security总部位于美国加利福尼亚州,是一家动态应用安全测试(DAST)和应用程序接口(API)安全测试解决方案的创新提供商。
通过收购Tinfoil Security,新思科技可扩展其DAST应用,并添加API安全测试功能。Tinfoil Security的DAST技术可以无缝集成到开发和DevOps工作流程中。此外,Tinfoil Security创新的API扫描技术可满足市场上不断增长的需求,为新思科技的产品组合系列锦上添花。
Tinfoil Security的Web扫描解决方案是下一代DAST技术,可识别Web应用程序上的漏洞,并与DevOps工作流程紧密集成。Tinfoil Security API扫描程序可检测API中的漏洞,包括与Web连接的设备(如移动后端服务器、IoT设备以及任何RESTful API)。
无论是下一代DAST技术还是API安全测试功能,都是新思科技首席科学家Sammy Migues曾提出的“软件安全的巨变”。
Sammy Migues在RSA大会上发表了“下一代软件安全迁移”(The next great software security migration)的演讲。Sammy Migues是新思科技软件安全构建成熟度模型(BSIMM)联合作者之一,从第一个版本就已经参与报告的编写。2019年发布的第十个版本 BSIMM10已经强调这些变化。
Sammy Migues介绍道:“这些变化有可能解决大家都对当今的软件安全计划(SSI)不满意的许多问题,包括对抗性关系、不合理的磨擦、人工密集的工作、容易出错的过程以及系统上有缺陷的软件。”
以不降低速度的方式将安全性引入软件开发中。“充分利用敏捷过程、CI / CD工具和DevOps文化的优势,使我们能够消除一些技术债务,定义一些策略,进而做出我们期待的改变。”
早在2011年,Sammy Migues是第一位提出安全“向左移”(shift left)的人。现在,“向左移”已经是个业内熟知的术语,表示在软件开发之初就已经开始构建安全性,而不是等到开发结束后。
“文化”是DevSecOps Days活动的主要议题。在一场“ DevSecOps和破坏性发展”的小组讨论中,与会人员同意将这三个团队结合在一起并不是技术问题,而是人为问题,这与今年RSA大会的主题非常契合:“人为因素” (Human Element)。
该小组讨论的成员包括Equifax首席转型官Sean Davis; Attivo Networks顾问Chris Roberts;英特尔全球网络安全政策总监Amit Elazari;主持人Charlene Li(The Disruption Mindset《颠覆性思维》的作者)。他们都认为变革是“痛苦的”,也需要人的合作,这是取得进步的唯一途径。
Sean Davis表示:“开发、安全和运营团队互相有怨言,他们并不理解不同团队的工作或者彼此也不沟通。这些团队的领头人能将不同团队的人员凝聚在一起,才有更大的机会取得成功。”
Chris Roberts表示:“这意味着不同团队的协作,而不是单打独斗。如果完全独立运作,可能实现不了目标;携手合作则更容易向成功迈进。当遇到问题的时候,需要想的是我们 – 而不是我,要如何解决问题。”