白皮书 安全性 无缝的应用程序安全性：以 DevOps 的速度确保安全性 目录 页码 当前的应用程序安全性问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 这些问题只会变得越来越严重 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 传统应用程序安全性做法不成功的原因 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 什么是无缝的应用程序安全性？. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 如何使应用程序安全性无缝地适用于您的组织？ . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 第 1 步：在开发工作中充分考虑安全性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 第 2 步：更早、更频繁、更快速地执行测试 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 第 3 步：利用集成使应用程序安全性成为生命周期的天然组成部分 . . . . . . . 5 第 4 步：将安全性作为开发和测试流程的一部分实现自动化 . . . . . . . . . . . . . . . 6 第 5 步：在发布后进行监视和保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 入门 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 上市时间对企业越来越 至关重要，各家组织纷 纷采用 DevOps 或类似的 敏捷方法进行快速开发。 事实上，企业相信到 2020 年，每个应用程 序将需要每年多发布 30 次，才能满足客户 和合作伙伴通过应用程序 与组织进行交互的需求。 当前的应用程序安全性问题 近年来，软件已从业务支持职能转变为创新中心，成为各种行业、各类规模的大多数企业必不 可少的竞争优势。随着软件角色的转变，当今的企业正在大幅增加应用程序数量和发布频率， 而极少考虑到非功能性要求。此外，由于对速度的需求迫切，现代应用程序的复杂性也在不 断提高，使开发人员对代码重复使用以及开放源代码和商业化 (COTS) 组件的依赖性也显著加 大。这一状况对安全团队寻找和管理漏洞的能力造成了巨大影响。因此，近年来一些明显的安 全漏洞都是由于第三方代码组件中的漏洞造成的。 在业务需要的推动之下，通过网站和 Facebook 等社交媒体平台、移动和云应用程序推出的应 用程序数量急剧增加。此外，某些应用程序的出现也源自于营销团队的推动，并使用第三方软 件创建。这些应用程序通常处于正常业务流程之外，很少甚至没有监管。 除了应用程序数量增加、复杂性提高和发布速度加快带来的所有挑战之外，GDPR 等法规和捕 获客户数据以用于业务目的的做法也已成为标准。拥有客户数据的多个实例会增加违规可能性 和影响。这一点尤其重要，因为如今的大多数安全违规都是由于应用程序漏洞而造成的。根 据 Micro Focus® 软件安全研究团队发布的2018 年应用程序安全风险报告，80% 的应用程序 都至少包含一个关键或高危漏洞，而 90% 的安全事件攻击的都是软件设计或代码中的缺陷。 这些问题只会变得越来越严重 上市时间对企业越来越至关重要，各家组织纷纷采用 DevOps 或类似的敏捷方法进行快速开 发。事实上，企业相信到 2020 年，每个应用程序将需要每年发布 30 次，才能满足客户和合 作伙伴的需求。所有这一切意味着，如果组织没有将安全性作为软件生命周期的重要组成部 分，而只是一味地加快应用程序发布速度，漏洞只会越来越多。 www.microfocus.com 1 白皮书 无缝的应用程序安全性：以 DevOps 的速度确保安全性 传统应用程序安全性做法不成功的原因 在大多数组织中，应用程序安全性都与参与最终开发阶段的特定团队毫无关系，并被视为加速 的障碍因素。这些安全团队无法跟上开发团队的增长速度，两类团队的增长比例无比悬殊，达 到了 80:11 之多。如果在晚期才发现安全漏洞，组织就会面临压力，导致团队之间发生摩擦、 错过发布截止日期，甚至出现更糟糕的情况。存在已知安全缺陷的版本也会被推送到生产环境 无缝的应用程序安全性 目的在于让应用程序安 全性成为软件生命周期 的一个完整组成部分， 并且不会给利益相关 者带来额外的负担。 以满足项目时间表要求，在这种情况下，企业及其客户的风险就会暴露在攻击者面前。 除了错过截止期限和造成团队不稳定之外，被动应对应用程序安全性问题对组织来说也是一 种成本更高的做法。根据 NIST 的研究，与在开发早期阶段就加以解决相比，安全缺陷的更新 成本在生产阶段要高出 30 倍，在测试阶段要高出 10 倍。所有这些问题和潜在风险表明，要 想在不影响成本的情况下确保应用程序安全性，唯一的方法就是迁移到无缝的应用程序安全 性模型。 什么是无缝的应用程序安全性？ 无缝的应用程序安全性目的在于让应用程序安全性成为软件生命周期的一个完整组成部分，并 且不会给利益相关者带来额外的负担。无论是采用 DevSecOps 方法，还是仅仅创建一个更有 效的安全计划，都需要从生命周期的最早期阶段开始考虑安全性。在整个软件开发生命周期流 程中，都应该内置应用程序安全性最佳实践和测试。如果能够以正确的方式执行，也就意味着 您无需牺牲应用程序安全性，即可在市场推动之下实现更快的发布周期。 如何使应用程序安全性无缝地适用于您的组织？ 无缝的应用程序安全性的成功需要投入大量时间和精力，而必须克服的最大障碍在于文化变 革，必须在整个软件开发生命周期内充分考虑安全性。消除安全团队与开发人员之间的摩擦 非常重要。就像在 DevOps 中一样，必须打破团队之间的孤岛、确保公开透明，并一起开展 协作。虽然说易行难，但如果能获得管理层和组织内部某些关键人物的支持，就能更顺畅地 推行这一计划。除了需要作出文化变革之外，成功过渡到无缝的应用程序安全性还包括以下 一些重要步骤： 2 __________ 1 资料来源：“10 Things to Get Right for Successful DevSecOps”，Gartner, Inc., 2017 通过在编码过程中查找 和修复安全缺陷，开发 人员可以在进入测试和 生产阶段之前消除潜在 的安全漏洞，从而节省 组织的时间和金钱。 第 1 步：在开发工作中充分考虑安全性 由于开发人员与安全专家的比率攀升到 80:1，开发人员必须对自己的代码负责。通过在编码 过程中查找和修复安全缺陷，开发人员可以在进入测试和生产阶段之前消除潜在的安全漏洞， 从而节省组织的时间和金钱。这种思维方式的改变要求训练开发人员在编写代码时就牢记安全 性，并为他们提供正确的工具以获取有关其代码的实时反馈。开发人员安全培训的选择很多， 但提供代码相关实时安全性反馈（例如 Fortify Security Assistant，其作用就像是一种安全性领 域的“拼写检查程序”，可在开发代码的过程中实时验证其安全性）或集成游戏化开发人员培 训的工具能够使这一过程变得更轻松、更快捷。对于安全团队来说，通过共享已知威胁相关信 息、提供反馈以及确保其工作的透明性和可见性来帮助开发人员，这一点也非常重要。对开发 主管进行应用程序安全性方面的培训，并将他们组织到一起以形成安全性拥护团队，将会取得 积极的成果。这样，除了传统的功能和质量方面外，开发主管还将在开发生命周期的早期充分 考虑到安全性方面。 第 2 步：更早、更频繁、更快速地执行测试 在软件开发生命周期中，可以通过几种方法来保持必要的发布速度。这些方法就是更早、更频 繁、更快速地执行测试。 更早测试 静态应用程序安全性测试 (SAST) 可识别安全性问题的根本原因，并帮助从开发的早期阶段开 始更新底层安全缺陷。为了保持发布速度，开发人员必须能够随时掌握各种情报，以便轻松 快捷地提交代码。Fortify Static Code Analyzer 之所以成为这一方法的领先者，是因为它具 有以下特点： ■ 识别并消除源代码、二进制代码或字节代码中的漏洞 ■ 实时审查扫描结果，并可访问建议、代码行导航以更快地查找漏洞并实现协作式审计。 ■ 全面集成常用集成开发人员环境 (IDE) Fortify Security Assistant 在此基础上更进了一步，可在编写代码时为开发人员提供关于代码 漏洞的实时见解和建议。这不仅可针对常见已知漏洞用作开发人员的安全性“拼写检查”，随 着时间的推移，还使他们能够逐渐停止再犯同类错误。 www.microfocus.com 3 白皮书 无缝的应用程序安全性：以 DevOps 的速度确保安全性 更经常地测试 动态应用程序安全性测试 (DAST) 可模拟针对正在运行的 Web 应用程序发起的攻击，或者识 别可利用的漏洞。这样可以重点关注有可能受到攻击的组件，同时涵盖所有组件（服务器、 自定义代码、开放源代码、服务），进而全面了解应用程序安全性。通过将 DAST 工具集成 到开发、质量保证和生产当中，可以提供持续全面的视图。Fortify WebInspect 通过以下方 式提供有效的解决方案： ■ 快速识别现有应用程序中的风险 ■ 从开发到生产阶段，自动执行任何技术的动态应用程序安全性测试 ■ 验证运行中应用程序的漏洞，对最严重的问题优先执行根本原因分析 ■ 简化漏洞更新流程 更快速地测试 交互式应用程序安全性测试 (IAST) 是应用程序安全性测试的一种形式，它可以在