使用 DevSecOps 優先考慮產品安全性

對於組織來說，構建具有強大安全性的軟體不再是事後的想法。事實證明，在全球各地各行各業不斷受到攻擊的情況下，可靠網路安全態勢的需求至關重要。對於大多數公司來說，特定於產品的安全是重要的，一個成功的產品安全實踐需要與工程團隊(DevSecOps )的精神相結合。

它包括首先建立一種安全文化，讓所有利益相關者瞭解優先順序、策略和業務價值。其次，團隊將安全性與軟體開發生命週期(SDLC)整合。僅僅左移是不夠的，組織需要將思維從左移轉變為無處不在。最後，始終監控產品系統是不容置疑的。

成功的實踐始於文化

在建立強大的文化時，目標是使整個工程團隊成為使命的一部分。這包括建立一個產品安全團隊來支援工程需求，並提供持續教育，提供可用於解決任何可能性的資源。

雖然每個組織都有自己獨特的需求、注意事項和建立產品安全團隊的方法，但建議使用以下五個角色：

1. 技術產品經理(TPM)：負責推動規劃中的安全優先順序

2.安全架構師：確保架構和設計包含安全流程

3.AppSec 工程師：負責實施安全開發生命週期

4.對抗工程師：發現攻擊面以識別弱點

5.安全衛士：來自每個Scrum團隊的工程師，他們有興趣在安全基礎知識方面為其團隊提供支援，有助於擴充套件整體產品安全工作。

建立和執行安全教育計劃對於贏得員工內心也至關重要。

將安全性整合到 SDLC 中

從高層次來看，所有 SDLC 都包括計劃、開發和釋出，每個階段都應有自己的一套安全控制。

計劃:產品安全TPM負責與產品管理團隊合作，確定安全優先順序——從風險降低、執行優先順序、客戶請求、安全發現和法規要求等來源獲得。確定什麼是重要的。

開發:在開發階段，許多重要的產品安全提升都發生在開發階段，包括實現威脅建模、安全基線和自動掃描。

威脅建模:識別系統中潛在威脅的過程。一旦確定，威脅建模團隊就可以建立緩解措施，並將結果整合到滲透測試中，以驗證威脅沒有實現。在架構階段，在編碼開始之前測試模型是最有效的，以避免返工和打補丁。

安全基線：團隊應建立完全修補的安全映像，滿足安全策略並預安裝強制性安全代理。對作業系統映像和容器執行此操作允許開發人員“免費”獲得一定程度的安全性，並避免持續的安全審查。基線應自動更新並流入 CI/CD 系統。

自動掃描:為了跟上敏捷流程，掃描應該是自動化的，並且有較低的誤報率。事實上，最好是少報告一些問題，而不是用很多噪音來干擾可信度。持續調優將增加保真規則集，有用的工具包括 靜態應用程式安全測試(SAST)、軟體組成分析(SCA)和動態應用程式安全測試(DAST)。自動化對於保護使用CI/CD開發過程的應用程式至關重要，並且在程式碼推送時提供安全性是無法估算的，開發人員可以獲得即時反饋，而不是在可能忘記重要上下文的幾周後再來修補這些問題。

來源：

https://devops.com/prioritizing-product-security-with-devsecops/