建立漏洞管理程序以支持DevSecOps

在討論DevSecOps及DevOps模型中包含安全性的重要性時，建立有效的漏洞管理實踐是非常重要的。這可以通過將漏洞管理設置為程序來實現(xiàn)。

我們可以開始對IT組織進行漏洞管理評估。人們經(jīng)常問的問題可能是，既然已經(jīng)建立了一些補救機制，為什么還需要進行評估。但擁有這些類型的評估以跟上安全和漏洞修復的行業(yè)標準是極其重要的。以下就是需要進行漏洞管理評估并跟上行業(yè)安全標準的原因之一。

在典型的IT組織中，我們用于軟件開發(fā)的項目中，只有20%-25%的自定義代碼。我們將使用所有工具進行不同類型的代碼掃描，并確保修復漏洞。然而，其余的代碼將來自開源模塊和庫。我們檢查出的框架和庫將繼承下面的更多框架和庫，我們可能不知道這些代碼有多干凈。這些代碼不是內(nèi)部編寫的，我們不知道它為成功運行所做的一些調(diào)用；另一方面，我們有包含包和元數(shù)據(jù)的容器。如果沒有以正確的方式進行配置，作為代碼的基礎設施可能會為漏洞開辟多種途徑。

因此，正確實施DevSecOps可以首先緩解漏洞，而正確的漏洞管理可以補救開放的漏洞。

通過漏洞管理實踐實現(xiàn)高效應用程序安全的步驟，直到操作成熟：

1.漏洞管理評估

評估對于了解IT組織的環(huán)境非常重要。這將使我們能夠優(yōu)先考慮避免風險的漏洞類型——分析漏洞風險并關注緊急情況。我們可以定義、識別和監(jiān)控已知或新出現(xiàn)的漏洞的端點。

2. 身份和訪問管理

需要高效的IAM（Identity and Access Management，身份識別與訪問管理）來主動防止漏洞的打開。IAM是組織中需要放置安全層時內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的網(wǎng)關。利用適當?shù)纳矸蒡炞C技術，如多因素身份驗證（MFA，Multifactor Authentication）、Sigle Sign-On（SSO，Sigle Sign-On）和基于風險的身份驗證（RBA，Risk-based authentication）。

IAM的優(yōu)勢如下：

• 確保數(shù)據(jù)機密性

• 數(shù)據(jù)安全

• 阻止惡意軟件攻擊

• 將組織門戶僅限于所需的各方

3.SAST 和 DAST掃描

SAST:靜態(tài)應用程序安全測試分析程序源代碼，以識別安全漏洞。SAST方法指導開發(fā)人員在早期開發(fā)階段開始測試他們的應用程序，而不執(zhí)行功能組件。這種方法可以盡早發(fā)現(xiàn)應用程序源代碼的安全缺陷，避免將安全問題留給后期的開發(fā)階段。這減少了開發(fā)時間并增強了整個程序的安全性。

DAST:動態(tài)應用程序安全測試實時掃描軟件應用程序，查找主要漏洞來源，發(fā)現(xiàn)安全漏洞或開放漏洞。DAST測試正在運行的應用程序，但不能訪問其源代碼。DAST是一種封閉盒測試形式，可以刺激外部攻擊者的視角。它假設測試人員不知道應用程序的內(nèi)部功能。它可以檢測SAST無法檢測的安全漏洞，例如僅在程序運行時出現(xiàn)的漏洞。

因為DAST測試需要一個完整的工作應用程序，所以將它們保留到應用程序開發(fā)過程的后期階段。測試人員需要與應用程序交互：提供輸入、檢查輸出，并模擬用戶交互的其他典型操作。

4. 有效配置管理數(shù)據(jù)庫(CMDB，Configuration Management Database)

保持最新的配置管理數(shù)據(jù)庫是成功的漏洞程序極為重要的方面。理解組織的軟件資產(chǎn)和配置管理過程是關鍵。配置發(fā)現(xiàn)工具，以更透明地洞察軟件配置。更新CMDB并將配置項映射到服務和應用程序。

結(jié)論

在擁有高節(jié)奏的開發(fā)環(huán)境和具有自動化管道的IT運營團隊的組織中，實現(xiàn)有效的漏洞管理非常重要?？紤]到目前的行業(yè)形勢，預防安全漏洞和網(wǎng)絡攻擊如呼吸一般重要。這可以通過在軟件開發(fā)生命周期的早期和所有階段引入安全方面并及時修復漏洞來實現(xiàn)。