作者:新思科技軟件質量與安全部門資深策略策劃師Taylor Armerding
參加世界上任何一個重要的安全會議,您都會經常聽到這樣的評論:企業提高其軟件安全性的最佳方法是使開發和運營團隊能更輕鬆地將軟件“內置安全性”。
這一論點在全球性安全大會RSA上也得到驗證。RSA 2020安全大會在美國舊金山舉行,期間有一場” DevOps Connect:DevSecOps Days”全天系列會議備受矚目,通過小組討論和主題演講等形式探討企業如何將安全更加無縫地內置到軟件開發和運營中。
新思科技是該系列會議的贊助商,在RSA大會上宣佈了近期的新舉措,以支持DevOps的安全組件更加易用。
首先,新思科技發佈Polaris軟件完整性平臺的重大更新,通過Code Sight IDE 插件的本機集成將其靜態應用安全測試(SAST)和軟件組成分析(SCA)的功能擴展到開發人員的桌面。這些功能在同類解決方案中是史無前例的,將使開發人員能夠主動查找並修復專有代碼中的安全缺陷以及開源代碼依賴項中的已知漏洞,而無需離開他們的交互式開發環境(IDE)。
簡而言之,這將使得軟件構建更加安全、簡易和快速。
新思科技產品營銷總監Patrick Carey指出開發團隊與安全之間持續存在緊張關係的原因:開發人員將安全視為“具有破壞性的”。
為什麼這麼說呢?在標準工作流程中報告缺陷時,開發人員已移至下一個任務。要糾正問題,他們必須中斷正在做的事情,然後返回,重新打開代碼,進行修復,然後重新測試。
但是,最新版本的Code Sight IDE 插件通過幫助開發人員在構建軟件時發現並解決專有和開放源代碼的問題來解決這個衝突,而不是切換工具或中斷他們的工作流程。
Patrick Carey表示:“這將從根本上改變開發人員在開發過程中檢測、分析和補救安全風險的方式。”
再者,新思科技已完成對Tinfoil Security的收購。Tinfoil Security總部位於美國加利福尼亞州,是一家動態應用安全測試(DAST)和應用程序接口(API)安全測試解決方案的創新提供商。
通過收購Tinfoil Security,新思科技可擴展其DAST應用,並添加API安全測試功能。Tinfoil Security的DAST技術可以無縫集成到開發和DevOps工作流程中。此外,Tinfoil Security創新的API掃描技術可滿足市場上不斷增長的需求,為新思科技的產品組合系列錦上添花。
Tinfoil Security的Web掃描解決方案是下一代DAST技術,可識別Web應用程序上的漏洞,並與DevOps工作流程緊密集成。Tinfoil Security API掃描程序可檢測API中的漏洞,包括與Web連接的設備(如移動後端服務器、IoT設備以及任何RESTful API)。
無論是下一代DAST技術還是API安全測試功能,都是新思科技首席科學家Sammy Migues曾提出的“軟件安全的鉅變”。
Sammy Migues在RSA大會上發表了“下一代軟件安全遷移”(The next great software security migration)的演講。Sammy Migues是新思科技軟件安全構建成熟度模型(BSIMM)聯合作者之一,從第一個版本就已經參與報告的編寫。2019年發佈的第十個版本 BSIMM10已經強調這些變化。
Sammy Migues介紹道:“這些變化有可能解決大家都對當今的軟件安全計劃(SSI)不滿意的許多問題,包括對抗性關係、不合理的磨擦、人工密集的工作、容易出錯的過程以及系統上有缺陷的軟件。”
以不降低速度的方式將安全性引入軟件開發中。“充分利用敏捷過程、CI / CD工具和DevOps文化的優勢,使我們能夠消除一些技術債務,定義一些策略,進而做出我們期待的改變。”
早在2011年,Sammy Migues是第一位提出安全“向左移”(shift left)的人。現在,“向左移”已經是個業內熟知的術語,表示在軟件開發之初就已經開始構建安全性,而不是等到開發結束後。
“文化”是DevSecOps Days活動的主要議題。在一場“ DevSecOps和破壞性發展”的小組討論中,與會人員同意將這三個團隊結合在一起並不是技術問題,而是人為問題,這與今年RSA大會的主題非常契合:“人為因素” (Human Element)。
該小組討論的成員包括Equifax首席轉型官Sean Davis; Attivo Networks顧問Chris Roberts;英特爾全球網絡安全政策總監Amit Elazari;主持人Charlene Li(The Disruption Mindset《顛覆性思維》的作者)。他們都認為變革是“痛苦的”,也需要人的合作,這是取得進步的唯一途徑。
Sean Davis表示:“開發、安全和運營團隊互相有怨言,他們並不理解不同團隊的工作或者彼此也不溝通。這些團隊的領頭人能將不同團隊的人員凝聚在一起,才有更大的機會取得成功。”
Chris Roberts表示:“這意味著不同團隊的協作,而不是單打獨鬥。如果完全獨立運作,可能實現不了目標;攜手合作則更容易向成功邁進。當遇到問題的時候,需要想的是我們 - 而不是我,要如何解決問題。”
閱讀更多 一一可圈可點 的文章
