【51CTO.com快译】过去六年来,我一直在从事Veracode的项目管理工作。在那段时间里,我了解到很多部署AppSec策略的不同方法。通常,安全团队(CISO / CIO领导)部署适用于开发人员和工程师的AppSec策略。然而,随着软件开发和发布方式的迅速变化,几年前部署的大多数安全策略已不再为开发社区所接受。当我们没有快速,自动化的安全工具可以插入SDLC时,许多应用程序安全策略就建立起来了。现在,随着团队转移到DevOps和CI / CD,现在比以往任何时候都更重要的是重新制定新的策略,这些策略与开发人员“快速获得良好代码”目标相一致,而不是违反。
基于多年来的工作经验,我整理了一些在调整应用程序安全策略时需要考虑的事项,具体如下:
首先实施可实行的政策
如果***引入安全性或***执行安全性,那么首先要制定一些可实现的政策标准。不要让一个从未做过安全措施的团队尝试满足PCI或所有OWASP要求;因为他们肯定无法满足,并在开始之前放弃。
从一个简单的政策开始:没有高或非常高的关键缺陷。随着时间的推移,开发人员在日常工作中采用安全措施将会变得更加严格。
不仅仅包含不允许的缺陷类型
一定要包含静态、动态、组合分析等类型的评估。此外,他们需要多长时间才能解决找到的问题?根据缺陷的临界点增加宽限期,即需要在五天内确定非常严重的缺陷;中等严重缺陷需要在15天内修复;低临界缺陷不需要固定期限。
另外,增加频率和阶段的要求。他们多长时间需要扫描一次,以及在哪个发展阶段?这与所需的评估类型是一致的。如果要在DevOps中占有一席之地,安全性必须越来越多地向左移动。
正确把控你的政策
开发团队的发布速度越来越快,在保证速度同时,还需要保证策略与开发人员在开发周期中使用的安全工具及解决方案保持一致。例如:不要求每次发布或在发布周期结束时进行测试。在发布过程之外,将此类要求更改为季度。在每日发布周期中包含像静态一样的自动化测试。另外,并非所有的应用程序都是平等的,所以你需要为不同的应用程序创建不同的需求。例如:具有IP的应用程序是面向公众的,具有第三方组件可能需要修复所有中等到非常严重的缺陷,单页临时营销网站可能只需要修复高/非常高的缺陷。
治理
拥有应用程序安全策略绝对是***做法,但如果没有治理,它也是无用的。要保证跟踪政策依从性(现在许多工具都内置了可以报告的策略管理器)是安全的。
此外,如果政策一直失败,安全需要与发展合作,并进行团队培训,如:由讲师指导的培训,研讨会,网络研讨会,电子教学,捕捉旗帜活动。
关键要点
•开发环境正在发生变化,确保您的安全策略与他们一起工作,而不是针对他们。
•安全策略需要成为“不判断区”。使用它们来帮助教育开发团队,了解他们正在努力的方向而不是批评他们的失败。
•不要严格。首先制定策略,然后提升团队成员构建安全代码的negligence,并随着时间的推移提供相应的培训,从而让他们的能力变得更强。
作者:Pejman Pourmousa
原文地址:https://dzone.com/articles/application-security-policy-might-need-to-revisit
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】