安全開發(fā)實踐原則

如今，安全威脅的破壞力正以前所未有的速度隨著信息化程度的加深而增長，擴大構(gòu)建數(shù)字化業(yè)務(wù)通常會導(dǎo)致更大的受攻擊面。要應(yīng)對當(dāng)前和未來的安全威脅，只依靠傳統(tǒng)的安全產(chǎn)品投入已顯得力不從心，除了購買安全產(chǎn)品，更重要的是安全意識的增強和安全流程的建設(shè)。

在各種安全建設(shè)方案中，“安全能力前置”是明顯的趨勢。就像一幢建造時地基不穩(wěn)、墻體不牢、地板塌陷的房子無法在建成后依靠幾根柱子的支撐屹立不倒，缺少安全開發(fā)過程的應(yīng)用，在后期運營時必然會漏洞百出。

我們認為安全開發(fā)實踐有以下5條重要的原則：

1、安全培訓(xùn)

安全技能培訓(xùn)對彌補技術(shù)能力差距以及管理產(chǎn)品生命周期每一個環(huán)節(jié)的安全性至關(guān)重要。公司需要顯性地投資在安全意識和安全技能的培訓(xùn)上，以提高開發(fā)人員安全編碼的意識和能力，并理解安全部門提出的建議和做出的行為，這對于業(yè)務(wù)團隊與安全團隊的高效協(xié)作非常重要。

根據(jù)SANS研究所的安全狀況報告，早在2016年在美國超過一半的調(diào)查公司樣本已經(jīng)將安全培訓(xùn)作為了公司主要任務(wù)之一。而直到今天，能夠懂得安全培訓(xùn)重要性的中國公司也是少數(shù)派，能將培訓(xùn)意愿轉(zhuǎn)化為培訓(xùn)行為的企業(yè)更是鳳毛麟角。

2、安全應(yīng)用開發(fā)

當(dāng)下，應(yīng)用程序的安全性已經(jīng)引起了企業(yè)的普遍重視。為了確保開發(fā)的安全性，有兩個重要的實踐方法：

（1）使用以安全性為中心的流程框架。

（2）將安全團隊的反饋納入開發(fā)人員的工作流和每個迭代周期的演示評審中。

對于流程框架，我們認為最好根據(jù)最佳實踐、軟件庫、標(biāo)準(zhǔn)以及企業(yè)的特定行業(yè)規(guī)定，選擇采用經(jīng)過驗證且適當(dāng)?shù)囊园踩珵橹攸c的框架。以下兩個著名的框架都是規(guī)則、技術(shù)和過程的集合，它們指導(dǎo)開發(fā)組織，并提供可應(yīng)用的資源。雖然有不同的關(guān)注點，但從根本上講都是以安全為導(dǎo)向的。

微軟安全開發(fā)生命周期（SDL）：此過程非常適合現(xiàn)有的DevOps環(huán)境，并提供了一個更通用的結(jié)構(gòu)，在整個過程中很好地整合了安全性。根據(jù)我們的經(jīng)驗，它并不限于任何特定的代碼類型或操作環(huán)境。

開源Web應(yīng)用程序安全項目（OWASP）：這個社區(qū)網(wǎng)站提供有關(guān)漏洞、相關(guān)影響和風(fēng)險的數(shù)據(jù)；以及開發(fā)和檢測安全Web應(yīng)用程序的最佳實踐指南。

企業(yè)需要積極地將安全團隊引入開發(fā)過程，以便盡早獲取他們的反饋，并在整個開發(fā)工作流和迭代原型演示中邀請他們參與。這樣做的好處是可以讓團隊在開發(fā)階段同時處理安全風(fēng)險，以避免在開發(fā)過程中引入代價高昂的風(fēng)險。

與開發(fā)階段相比，在產(chǎn)品運營和維護階段消除風(fēng)險的代價至少會高出數(shù)十倍。但是，很多開發(fā)團隊并不適應(yīng)與安全團隊協(xié)作，邁出第一步并堅持不懈是關(guān)鍵，最終基于安全性的開發(fā)工作流將成為總體安全策略中的一個巨大優(yōu)勢。

3、Security+DevOps=DevSecOps

DevSecOps是一個正在逐漸形成的趨勢，它將安全性完全集成到DevOps工作流中，從而創(chuàng)建了一個統(tǒng)一的過程。正如DevOps提出時，是要同時解決開發(fā)和運維問題一樣，現(xiàn)在也必須同時解決安全問題。

Security + DevOp或者DevSecOps不僅涉及擴展每個階段的工作內(nèi)容以包含安全要素，而且還包括跨階段，跨部門的培訓(xùn)，以便在開發(fā)代碼時降低風(fēng)險。

4、應(yīng)用安全測試（AST）

持續(xù)測試非常重要，應(yīng)用程序安全測試（AST）工具應(yīng)該成為每個開發(fā)人員工具鏈的一個必備的組成部分?，F(xiàn)在有很多優(yōu)秀的工具，包括開源工具。在考慮應(yīng)用程序安全測試工具時，最好預(yù)先確定要使用的工具集，以便優(yōu)化代碼檢測的步驟和流程。否則，工具可能無法完整且高效地檢測代碼。

AST工具分為幾個基本的類別：

（1）靜態(tài)應(yīng)用程序安全測試（SAST）

（2）動態(tài)應(yīng)用程序安全測試（DAST）

（3）交互式應(yīng)用程序安全測試（IAST）

Gartner在2017年的報告指出，“大多數(shù)開發(fā)應(yīng)用程序的企業(yè)都已經(jīng)采用了某種形式的AST，但不同的技術(shù)在成熟度上有所不同。DAST和SAST是當(dāng)前應(yīng)用最廣泛的產(chǎn)品類型，但IAST的市場需求正呈現(xiàn)高速的增長?！?/p>

5、持續(xù)地監(jiān)控和分析

持續(xù)地監(jiān)控和分析有助于保護運維階段的應(yīng)用。從監(jiān)控中得到持續(xù)的反饋，并將其反哺到開發(fā)過程中。監(jiān)控和分析運維階段的應(yīng)用是一種基本的常識性操作，它可以為企業(yè)提供有價值的信息和數(shù)據(jù)，幫助企業(yè)攔截潛在的漏洞，降低潛在的風(fēng)險。

如同運維階段的安全無法離開開發(fā)安全，開發(fā)安全也無法脫離運維安全單獨實現(xiàn)。一個沒有反饋機制的流程肯定不是一個好流程。

推薦相關(guān)文章：web安全教程