首頁 > 焦點新聞

DevSecOps在資安角度上的重要環節處與精神何在

作者:安華聯網科技Onward Security -2020 / 07 / 30 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
上一篇談及將DevSecOps中的安全環節,與每個團隊的利益相互結合,最終須融入整個企業文化中。這一篇將分享: DevSecOps在資安角度上的重要環節處與精神何在,歡迎您的閱讀與指教。
 
軟體開發時導入DevSecOps  自動化系統可降低門檻
根據IBM的研究統計資料顯示,產品在釋出之後修復安全問題,比在設計階段時解決,其成本多出4到5倍,而在維運階段才修復安全問題,其成本將達到、甚至超出100倍。因此,DevSecOps需要在軟體開發前期介入,內容包括對開發、維運人員的安全意識及安全開發規範的教育訓練、安全需求(非功能需求)的匯入、以及前期的程式碼稽核工作等。
 
雖然在DevSecOps模式中,看似安全環節增加了工作內容,但從整個軟體生命週期的開發與維護成本來看,提前發現問題可讓成本大幅降低。
 
此外,DevSecOps的安全工作經常被誤以為會造成開發上的瓶頸,例如安全要求太多、測試與評估時間太長,或安全監控實施困難等,事實上,這是由於大多數的公司不願投入人力又不知如何進行自動化,導致無法將DevSecOps與現有流程及文化進行整合而失敗。DevSecOps採用的是快速疊代的開發方式,讓應用系統在最短週期內,實現應有的價值與安全屬性,相較於其他資訊安全方法論,更為快速、彈性,因此,自動化的介入,可以協助團隊更輕易的達成DevSecOps的實現,且使其更具有實務價值與效益。
 
須精準掌握資安問題  即時移除嚴重弱點
許多情況下,團隊為了加速產品的開發與上市時程,產品上的軟體並不完全是自主研發,而是採用公開的原始碼(Open Source)或函式庫中蒐集、整合大量的預編譯組件及函式庫,例如GitHub、SourceForge 或Docker Hub等,自行撰寫的程式碼,在現成軟體中所占的比率也大幅降低,相對應的,安全風險的問題焦點也有所轉移。大多數資安風險都可以通過識別這些公開的函式庫、第三方組件的已知弱點和錯誤配置來完成,待問題解決後才投入生產。從安全的角度來看,識別Open Source 中的已知弱點,比發掘自行撰寫的程式碼中的未知弱點要容易的多,最簡單快速的一種方式,便是將Open Source或第三方組件與弱點資料庫做比對。
 
除上述在設計與開發階段所提到的自動化安全弱點分析比對外,第三方安全測試工具的支援也扮演重要的角色,如何有效的進行安全確認與弱點驗證,確保在產品最終釋出之前,將大多數風險移除,便是開發團隊實現安全開發的重要關卡。
 
安全文化需貫穿整個DevSecOps流程
而在產品釋出後的維運階段,最重要的則是持續性的,隨時監控與即時處理來自內部或外部的安全威脅,例如對外伺服器是否遭到攻擊、自家產品弱點是否在未被通知的情況下公開揭露於網路上、是否有最新的Open Source弱點被發現,最後則是隨時關注最新的網路攻擊趨勢,以即早採取相對應的安全防護措施。
1
推薦此文章
1
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…