案例分享 | 某制造企业的DevSecOps建设实践
2021-03-17 15:07:34 Author: www.freebuf.com(查看原文) 阅读量:104 收藏

应用安全存隐患

     在物联网、云计算、工业互联网等为代表的新一轮信息技术浪潮中,制造业也迎来了数字化转型的高速发展期,如何管控数字安全风险随之成为重要课题。软件开发安全是其中的难题之一,因为这些偏传统业务的企业往往不确定如何安全地编写面向云、面向互联网的应用软件,正在走互联网企业早期走过的弯路。

     CNVD数据显示,2020年安全漏洞数量创历史新高,其中应用程序漏洞占比超77%;国内在大型攻防演练期间也爆出大量0day漏洞,涉及用户群体庞大的多个OA及财务系统。与此同时,软件开发安全的建设步伐也在不断加快,2020年中国DevOps现状调查报告显示,有41.29%的企业引入了DevSecOps,但由于安全能力不同,DevSecOps水平参差不齐。

     默安科技多年来致力于提供贯穿完整业务生命周期的左移开发安全DevSecOps能力,全流程解决方案也得到了客户的认可。本文将以某制造企业的开发安全项目为例,介绍默安科技开发安全体系如何解决用户的实际需求。

TA是谁

     该企业是传统制造业进行数字化转型的典范,在《2020中国企业500强》和2020年《财富》世界500强排行榜中的排名十分靠前,积极开展高新技术研究和产业化探索。在加快业务转型升级的同时,如何确保数字化业务系统的安全性是该企业实现快速发展的当务之急。

反复尝试,步履维艰

     该制造企业开发项目多,但开发质量参差不齐,众多业务上线后发现各类安全漏洞,不但需要开发人员花费大量时间和精力进行修复,并且业务系统被攻击的安全风险还有可能影响正常的对外服务,造成企业名誉受损和经济损失。

     在决定建设全面的应用安全开发体系之前,他们曾开展过代码审计、黑盒测试等间断且独立于开发流程之外的安全测试工作,未形成体系化和常态化,安全的介入不但拖慢了项目上线速度,严重的安全漏洞也没有做到及时修复。

     为了防范安全事件的发生,同时有效减少系统上线前的应用安全漏洞、降低漏洞修复成本,该企业规划建设完整的开发安全体系,并希望安全工具能够与Jenkins、Jira等平台无缝集成,实现高效测试,同时规划开发人员能力培养计划,从根源上减少应用安全风险。

默安DevSecOps冲破迷雾

     默安科技根据该企业自身开发项目管理体系,将雳鉴SAST、IAST检测工具与现有的工具链整合,协助客户制定和完善开发过程中的相关流程与规范,辅以安全培训提升人员安全开发能力,构建完善、统一、可跟踪、可度量的开发安全体系,将99%的已知高危漏洞消灭在开发阶段,避免应用带病上线。

01 建立开发安全过程管理流程

  • 完善安全需求设计

      围绕该企业某信息系统的标注与认证、访问控制、会话管理、日志管理、安全审计、文件资源等安全需求进行设计,分析可能存在的安全风险并提供应对措施。

     举个例子:某项访问控制需求存在垂直越权漏洞风险:即Web应用没有或仅仅在菜单上做了权限控制,导致恶意用户只要猜到了其他页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。

     应对措施:用户每次访问对管理员可见的管理界面 URL时,都要判定该用户是否有访问此 URL 的权限。推荐使用RBAC权限框架。

  • 完善安全测试规范

     结合该企业内部的人员培养体系,提供安全测试规范手册,为安全测试人员提供测试指导。安全测试人员通过查阅该指南可快速掌握Web、iOS客户端、Android客户端安全测试,提升安全开发意识,提高开发效率。

02 安全工具与开发平台创新贯通

     根据客户现有的Jenkins开发管理流程,将默安SAST、IAST与现有工具链整合,完善敏捷开发平台的安全管理,为开发、测试和安全管理人员提供自动化工具,实现代码问题提前发现、及时改进与闭环跟踪。

      举个例子:某开发人员在代码仓库提交今日编写的代码后,雳鉴SAST将自动拉取代码进行代码审计,将漏洞检测结果同步到JIRA,并通过邮件第一时间反馈给相应开发人员。

                                                                安全开发管理流程

  • SAST

     默安科技雳鉴静态应用安全检测系统(简称“雳鉴SAST”),解决软件安全开发流程中编码阶段的代码安全问题,与代码仓库(如SVN/GIT/TFS)无缝对接,以最小代价帮助企业实现代码安全的自动检测、漏洞周期管理、代码安全质量分析,并实现可视化管理。

  • IAST

      默安科技雳鉴交互式应用安全检测系统(简称“雳鉴IAST”),解决软件安全开发流程中测试阶段的应用安全问题。通过基于请求和代码数据流两种技术的融合架构,结合SAST和DAST的优点,达到检出率极高、误报率极低的效果,同时定位到API接口和代码片段,在测试阶段无缝集成,准确率高,为客户业务上线前提供强有力的安全保障。

03 开发安全项目知识转移

     默安科技还协助该客户根据开发安全项目成果,建设文档管理系统,统一管理各类制度、技术规范、项目材料,提升内部团队沟通协作效率。同时,组织相关开发、安全人员进行针对性的安全培训赋能,培训内容包括开发安全意识、安全设计与编码、安全需求评估等,提升安全开发能力。

成功落地,行之有效

     默安科技的DevSecOps解决方案协助我们完成了从0到1的开发安全体系建设,不仅满足了网络安全法、等保2.0等法规标准的要求,降低了业务上线后的安全合规风险,同时默安的安全工具还能与现有Pipeline流水线无缝对接,执行自动扫描,提前发现并处置了大量安全漏洞,提升了漏洞修复效率,缓解了业务上线后的安全运维压力。

                                                                                                                                        ——该制造企业CISO

总结来说,整个方案的落地为客户带来了这些价值:

01

满足法律与合规要求,避免监管处罚和名誉受损

02

完成开发安全体系从0到1的建设,保障业务安全

03

实现安全左移,极大降低上线后的安全修复成本

04

对接现有的开发工具平台,对业务影响降至最低

开发安全建设是必经之路

     在制造业加速数字化转型的背景下,各类应用系统的安全问题也会频繁暴露在公众视野中。与其花费大量的人力物力事后修复,甚至承担名誉和经济损失或因黑客入侵造成数据泄露的后果,不如在数字化转型过程中建设应用系统上线前的开发安全体系,不改变原有研发和QA的工作习惯,尽早发现、解决安全问题,保障业务系统的安全与长期稳定。


文章来源: https://www.freebuf.com/articles/others-articles/266450.html
如有侵权请联系:admin#unsafe.sh