在2020年RSAC大會召開期間,除了展覽之外專家意見分享會成了RSA大會的又一大關注焦點,網安專家會基於自己多年經驗和最新的研究給予參展廠家和研究開發人員不少價值非凡的建議。
Christopher J. Romeo(Security Journey CEO)也在RSA期間發表了演講,基於網絡安全行業給了開發人員10條重要的建議。Christopher J. Romeo表示他的建議適用於應用安全程序開發者,廠家中層主管人員和高管人員。在演講最初,他表示對於研究人員而言開發應用安全程序的根本目標並不是“零漏洞”,因為“零漏洞”是不可能實現的。首先開發人員應該把目標定為更快地修復系統漏洞以及儘可能地發現更多漏洞信息。同時,相關安全廠家也不要將所有安全問題歸咎於開發人員,而是應該從可衡量的角度出發儘可能以改善組織結構來提升安全狀況。
隨後,他還對 “哪些人應該對安全負責” 進行了數據調查和分析,數據調查結果如下圖所示,有81%也就是大部分的受調查者認為安全責任還是應該由開發者承擔,只有21%的受調查者認為責任應該由整體團隊組織負責。 Romeo認為這個數據表示了大部分的人依舊還是沒有把安全責任從單一的開發人員上轉移到團隊中去,這表示開發人員面臨著巨大壓力。
同時,在整體數據調查過程中,只有十分之三的程序維護人員認為自己具有高安全性知識,他認為這個數據潛在巨大安全風險,即使開發者盡力做好了安全產品開發,後期維護人員的安全意識缺失也會大大降低產品安全係數。此外,Romeo還闡述了安全開發人員目前面臨的兩大難題,首先是有調查數據表示有83%開發人員擔心他們使用的開放源代碼是不安全的。其次,幾乎所有的開發人員都知道,安全固然重要,但是他們可以分配的時間很有限,48%的開發人員表示他們沒有足夠時間花費在系統安全運營上。
開發人員都需要知道的10件事
- 每個人都是安全人員,安全需求無處不在
在網安行業內,安全系統研發和維護都是依託於安全人員的基礎上,以組織安全文化脈搏為例,需要對安全衛士觀點進行收集,對技術領域進行回顧並找出薄弱環節。在組織安全層面,安全人員應該進行公開交流,簡化方法、語言和框架的選擇,並提供足夠的安全指導。
- 安全是盟友,而不是對手
安全人員應該意識到他們責任不在於隱藏漏洞,而是需要制定安全計劃和安全形成緊密的關係,更有助於達成有價值的合作關係。與此同時,安全團隊和安全人員的成功是緊密聯繫在一起的,因此在公司層面應該制定相對應核心安全文化,可以引起開發人員的共鳴,同時公司應該為開發人員提供安全培訓,以提高開發人員安全開發的能力。
- 不可能有永遠安全的系統 要採取風險防範的措施
Romeo表示,在制定風險防範措施時,需要管理者考慮您的組織是如何描述安全性的,如何看待安全性的。並且,重點是確定是否存在基於當前風險的防範方法。
- OWASP工具是安全資源的寶庫
在演講中,Romoe介紹了OWASP工具的重要性。同時他表示在這個建議中,安全人員最先要做的是驗證OWASP資源是否已經包含在已有的應用安全程序中。隨後他介紹了10個比較好用的QWASP工具,同時提醒安全人員應該集成ZAP和進行依賴項檢查。
- 第三方開源漏洞信息非常猖獗
根據2019年國家軟件供應鏈Sonatype和NPM未來的JavaScript主題報告顯示,使用vulns下載Java組件佔比:6.1%(2015)、5.5%(2016)、12.1%(2017)和10.3% (2018)與此同時在2018年下載的npm模塊中有11%擁有關鍵vulns(51%擁有vulns),這表明第三方開源漏洞數值佔比還是比較高的。對此,Romeo建議在分析處理第三方和開源軟件的過程中,安全組織首先應該確認開發人員在編寫代碼和構建管道時使用的工具集是否具有安全性。
- 安全系統的開發是具有生命週期的
Romeo表示,安全系統的開發是具有生命週期的,因此他建議開發人員先分析安全系統的開發生命週期,一個正確的開頭是非常重要的。安全公司可以調查並提供安全可見性工具,同時在系統生產中進行防禦。
- 沒有集成的安全性 就不可能有真正的DevOps
Romeo表示,對此安全開發人員應該考慮到DevOps管道的不同階段,並分析每個步驟的安全性集成,這一點是非常重要的。與此同時,開發團隊應該添加額外的工具和自動化來增強系統安全性。
- 秘密不應該存在於源代碼控制系統中
對於這一點建議,Romeo表示安全開發人員應該瞭解在源代碼控制中保守秘密和密鑰的必要性,不能將密碼存在於源代碼控制系統中,同時安全人員應在代碼提交時自動執行秘密嗅探工具對此進行檢測。
- Docker和Kubernetes並不是安全產品
對此,首先公司應該先確定開發人員在體系結構中對Docker和Kubernetes的依賴程度,然後安全組織應該對Docker和Kubernetes巨大的安全鄰近特性進行分析,並且將信息傳達給安全人員。
- 需要熟悉下一代AppSec的戰術使用
Romeo將AppSec戰術包含:RASP運行時應用程序進行自我保護,IAST使用交互應用程序進行安全測試,SCA軟件組合分析和CWPPCloud工作負載保護平臺。
閱讀更多 EasySigning 的文章
