据观察,现在每家公司都是软件公司。因此,更多的涉众参与到软件交付过程中;每个人都要对代码和数据的安全负责。
这种发展意味着首席信息安全官的团队需要与公司的其他涉众合作,以实现构建在此基础上的总体指导方针、标准和最佳实践设计的安全性原则.使用驱动软件安全和质量的标准最佳实践可以帮助整个IT组织避免任何已知的问题和挑战。
通过安全和软件工程团队之间的协作,您将有所收获加强安全护栏确保两个团队都将这些策略作为他们自己流程的一部分。这使得整个组织更容易通过软件审计和完成安全态势评估。客户还可以放心地知道,公司正在遵循适当的安全准则,他们的数据是安全的。
因此,软件交付管理是CISO团队的政策和DevOps/IT Ops的工程实践的结合。在将应用程序过渡到云计算时,它必须考虑到公司的需求。
这些最佳实践将帮助安全和IT领导者应对挑战,并最终允许高性能团队将安全标准融入到软件交付中。
检查您到云的转换
在过去,工程团队在数据中心内部开发基于软件的管理工具,并将它们直接部署到生产服务器上。但是,当组织将应用程序转移到云中时,在软件交付生命周期的每个步骤中很难控制底层硬件、软件、安全工具和技术。
换句话说,迁移到云很容易,但要保证软件交付管理过程的安全却很困难。为了成功地实现这一点,您必须从设计的角度考虑安全性。
IT领导不应该事后才考虑安全问题。太多的组织试图“提升和转移”工作负载,从内部环境到云,本质上保持旧的安全流程和控制。通过这样做,他们不能利用原生云安全有效的工具或技术。
例如,当项目开始时,需要安全审批。每个步骤都必须有一个集中的安全团队参与,这样他们就知道要交付什么,并避免在部署生命周期结束时出现任何意外。
软件交付管理的第二个安全方面是需要通过设计来确定要发挥作用的安全的正确阶段。这是工程团队在初始构建过程中开始选择安全性最佳实践并利用诸如静态代码分析等技术的地方。
为什么设计上的安全性是关键
帮助公司改善软件交付管理安全状况的五件事是:
- 静态代码分析
- 动态代码分析
- 集装箱安全管理
- 用于管理机密、密码、证书和密钥的保险库
- 软件交付管理的可视性
静态代码分析
静态代码分析对于更好地理解漏洞、所构建的软件的质量以及软件内部的安全漏洞非常重要,并且要快速理解这些漏洞。尽早发现问题有助于纠正这些问题,以便工程团队避免将有缺陷的代码部署到生产中。
对于任何IT主管来说,理想的结果是在软件交付管理过程的开始阶段消除已知的问题和漏洞。
动态代码分析
动态代码分析将帮助您在运行时执行时识别漏洞。动态代码分析是黑盒漏洞扫描的一种形式,它允许开发人员和DevOps团队扫描正在运行的应用程序并识别漏洞。动态代码分析可以减少识别生产事件的平均时间,并提高总体安全状况。
集装箱安全管理
许多组织正在从虚拟机转向云中的容器。当迁移到容器技术时,安全工程需要包括集装箱扫描作为软件交付管理过程的一部分。
您的安全团队需要与软件工程和DevOps团队合作,为容器安全漏洞管理建立基准和基线。他们还需要确保定期扫描所有容器图像,并且扫描结果不会偏离基线。
此外,在CI/CD过程中合并审批门将帮助安全团队执行策略并自动化所有规定的软件交付管理安全步骤。
这个关键的过程可以消除每个部署中的bug、已知的漏洞和意外情况,从而提高软件的质量和安全状况。
用于管理机密、密码、证书和密钥的保险库
在过去,工程团队编写脚本并嵌入密码、密钥和证书来部署和构建软件。这种方法不适用于云部署,也不是将敏感数据硬编码到脚本中的好做法。它会暴露敏感数据,这可能会导致漏洞,而且跨多个脚本和部署管理配置也很麻烦。
通过自动化这个过程,软件交付管理团队可以将这些安全方面保留在保险库中。在保险库中分离和存储敏感数据将显著改进保护敏感安全数据的方法,并通过使用基于角色的访问模型控制人们如何访问这些数据。
作为一种最佳实践,所有的秘密、密码和证书都应该存储在保险库中,然后可以在每个步骤中参照安全措施进行交叉引用。这有助于团队避免对密码进行硬编码,也可以保护代码不受恶意活动的影响。
软件交付管理的可视性
在当前的软件交付管理平台中,信息分布在CI/CD管道的多个工具和阶段。对公司来说,将信息整合在一起,将数据规范化,并将统一的视图整合在一起是一项挑战。对软件交付管理过程缺乏可视性和统一的洞察力将增加您的安全风险,并显著影响生产率和操作。
更好的可见性和预测能力可以帮助组织了解瓶颈、延迟和安全风险,允许他们做出智能的业务和技术决策。此外,DevOps和工程团队可以主动解决这些问题,避免在最后时刻出现意外端到端软件交付的过程。
你现在应该做的三件事
至少,IT组织应该结合静态代码分析和容器漏洞管理,并使用保险库存储敏感的配置数据。
安全主管需要通过简化这些集成和协调安全策略来增强工程团队的能力自动化的CI / CD管道.反过来,这有助于工程组织设置护栏,并提供将代码无缝地从一个阶段移动到另一个阶段的能力。
目标是通过验证来改进安全流程,并确保团队以最高的质量和安全标准交付软件.所有这些将使CISO更容易有信心采取适当的步骤,以尽早和经常地在安全和工程团队之间进行合作。
继续学习
向你的SecOps同伴学习与TechBeacon的《SecOps 2021指南》状态.+:下载CyberRes 2021年安全行动状态.
掌握SecOps的工具与TechBeacon指南,其中包括SIEM的GigaOm雷达.
未来的安全是代码。找出DevSecOps是如何通过TechBeacon指南让你到达那里的.+:看到SANS DevSecOps调查报告为实践者提供关键的见解。
赶上速度在网络的弹性与TechBeacon指南.+:取网络恢复力评估.
把这些都付诸行动与TechBeacon的现代安全运营中心指南.
