Поддержание баланса DevOps между безопасностью и скоростью [Q&A]

С ростом популярности DevOps во многих компаниях постоянная проблема заключается в скорости и безопасности. Эта напряженность существует, потому что общее мнение состоит в том, что безопасность замедляет гибкую разработку и конвейер CI / CD.

Мы поговорили с генеральным директором Manish Gupta о платформе непрерывной защиты приложений ShiftLeft обсудить динамику внутри DevOps, которая создает эту напряженность, и как ИТ-организации могут достичь как скорости, так и безопасности.

BN: Какую роль играет автоматизация с точки зрения преобразования требований безопасности в код?

МГ: Внедрение DevOps растет такими быстрыми темпами, во многом потому, что большая часть того, что раньше делали ИТ-специалисты, теперь автоматизирована с помощью кода. Например, когда новое приложение было готово к работе, ИТ-специалисты использовали для подготовки сервера вручную, его развертывания и установки приложения. Теперь они используют код для подготовки сервера в AWS или Azure и запускают приложение практически автоматически.

Я твердо верю, что нечто подобное должно произойти с безопасностью в DevOps. В настоящее время преобладающий процесс определения требований безопасности для конкретного приложения является очень ручным. Служба безопасности спрашивает разработчиков о том, какие данные обрабатывает приложение, а затем предоставляет требования (например, требования безопасности для приложения мобильного банкинга очень высоки). Однако успешные организации теперь могут использовать средства обеспечения безопасности приложений для сканирования приложения, определения типа обрабатываемых данных и автоматического преобразования требований в код.

BN: Насколько важна скорость сканирования кода?

читать:  Мет, героин, кокаин найден на фабрике Тесла

М.Г .: Гибкие отношения между проектированием и ИТ-операциями необходимы в эпоху быстрых цифровых преобразований. DevOps позволяет компаниям преуспеть в быстрой итерации и поставке новых программных продуктов и обновлений для устройств, приложений, сетей и многого другого.

Гибкость процесса DevOps требует, чтобы инструменты безопасности обеспечивали быструю защиту приложений, специфичную для каждой версии каждого приложения. Это устраняет недостатки, такие как настройка политики и ложные срабатывания, и минимизирует влияние производительности на приложения. По этой причине скорость сканирования кода принципиально важна.

В то же время большинство организаций по-прежнему полагаются на большие монолитные приложения, которые обеспечивают их доход. Чем больше база кода, тем она сложнее, что означает больше ошибок безопасности. Сложность кода и размер приложения вызывают ряд проблем у поставщиков статического тестирования безопасности приложений (SAST), в том числе снижение скорости работы из-за неспособности компьютеров успешно завершить сканирование на наличие уязвимостей больших монолитных корпоративных приложений.

Поэтому организации должны требовать решения, которые преодолевают препятствия для скорости сканирования больших приложений.

BN: Какое у компаний должно быть правильное мышление, чтобы сбалансировать скорость и безопасность в DevOps?

MG: Неотъемлемой частью мышления по внедрению безопасности в DevOps является то, что это общая ответственность. Это процесс, в котором вся команда работает вместе для достижения гибкого SDLC.

То, о чем мы здесь говорим, это смещение безопасности влево. Нет конкретного места, где безопасность должна быть обеспечена в этом процессе. Безопасность должна быть вставлена ​​на каждом этапе процесса, автоматизирована и должна нести общую ответственность. Тогда образ мышления DevOps становится безопасным для выпуска и управления приложениями. Каждый этап принадлежит отдельной персоне, каждый из которых обладает уникальным пониманием. Цель безопасности – использовать опыт каждого человека для повышения безопасности, не замедляя их.

читать:  Драматические портреты с оптическим снутом

BN: Какие персонажи существуют в командах DevOps и почему важно использовать опыт каждого человека?

МГ: Каждый человек в составе команды инженеров и безопасности должен играть решающую роль в зависимости от стадии процесса DevOps, которой он владеет. Давайте подробнее рассмотрим каждый этап, чтобы проиллюстрировать это.

Архитекторы устанавливают требования на этапе «Планирование», такие как шифрование и данные, обрабатываемые каждым микросервисом, на основе чувствительности данных, которые он обрабатывает. Разработчики владеют фазами «Код» и «Сборка», где они должны задавать вопросы типа «Я использую библиотеку с открытым исходным кодом, которая делает мое приложение уязвимым?» или "Я шифрую все важные данные, с которыми имеет дело мой код?" Ключ заключается в том, чтобы сделать это с высокой точностью в течение нескольких минут после каждой сборки. В противном случае безопасность становится бременем – и заброшена. Фазы «Тест» и «Релиз» должны раскрывать уникальную информацию о безопасности, основанную на тестируемом трафике приложения. На этапах «Развертывание», «Мониторинг» и «Эксплуатация» развернуто большинство инструментов безопасности. Эти инструменты не должны нарушать процесс DevOps, но должны быть эффективными и действенными для защиты приложений, при этом не требуя от каждого клиента большой работы по настройке их среды.

BN: Что необходимо для того, чтобы инструменты для анализа кода лучше использовались и которым доверяли разработчики?

МГ: Инструменты статического анализа кода (SAST) имеют плохую репутацию. Устаревшие инструменты работают медленно и генерируют много ложных срабатываний, что вызвало неприязнь и недоверие как к безопасности, так и к разработчикам SAST. В результате безопасность приложений должна быть быстрой (анализ, который занимает минуты, а не часы), точной (минимизировать ложные срабатывания), обрабатывать пользовательский анализ кода и анализ стороннего кода и помогать выявлять трудно обнаруживаемые недостатки бизнес-логики. ,

читать:  Microsoft выпускает обновление KB4522355 для Windows 10, исправление проблем с меню «Пуск» и многое другое

BN: Как возросшее использование API и сторонних программных компонентов влияет на динамику скорости и безопасности?

МГ: Все больше приложений, которые сегодня создают компании, используют стороннее программное обеспечение, включая библиотеки с открытым исходным кодом и интегрированные среды. В случае одного из наших клиентов 80-90 процентов кода приложения поступает от третьих лиц. Проблема заключается в том, что если разработчики будут использовать больше стороннего программного обеспечения, это создаст больше путей для злоумышленников взломать приложение. Организации должны гарантировать, что цепочка поставок программного обеспечения учитывается как часть обеспечения безопасности в процессе DevOps.

BN: Вы упомянули недостатки бизнес-логики ранее. Как помощь разработчикам в выявлении недостатков бизнес-логики может помочь им двигаться еще быстрее?

МГ: Недостатки бизнес-логики представляют собой отдельную категорию уязвимостей, характерных для приложения и бизнес-сферы. Традиционные инструменты SAST не понимают рабочий процесс бизнес-области, логику программиста и способы, с помощью которых логика может быть подделана или обойдена. Это требует инструмента анализа кода, который легко включает требования клиента, которые говорят об их специфическом деловом потоке, определенных типах данных, которые они считают важными, их требования к шифрованию и многое другое. Это также увеличивает потребность в спецификации модели для запроса уязвимых состояний, недостатков бизнес-логики и внутренних атак, которые могут существовать в кодовой базе приложения.

Имиджевый кредит: tkemot / depositphotos.com



Source / keekoin.com

Поддержание баланса DevOps между безопасностью и скоростью [Q&A] | keekoin.com | 4.5