產品資安
20.May.2020

如何兼顧產品開發的敏捷度與安全性?淺談DevSecOps與自動化的相輔相成

分享:
過往慘痛的案例告訴我們,DevSecOps的重要性。2019年,Facebook再次被爆出個資被洩漏事件,位於暗網的線上資料庫,有超過2.67億個Facebook使用者個人資料被洩漏,包含使用者的姓名,Facebook的ID,以及電話號碼,這些使用者中可能受到垃圾郵件或釣魚郵件的網路攻擊,這使得Facebook遭受到信用的損失和股價的重挫[1]。

對於很多企業而言,Cloud和DevOps是推動企業業務發展的關鍵技術引擎。企業的IT、安全和開發人員都知道Cloud和DevOps環境中,有大量的敏感訊息(如secret key)需要保護,儘管大部分的人都有安全意識,但我們仍能看到諸多的重要資料洩漏事件。

在網路急速發展的大數據時代,很多企業都貫徹「敏捷」的思維和行動,這是一個同時需要面對不同風險的信號,並且正在不斷被驗証。越來越多的消費者、監管機構和市場發現,由此所造成的資料洩漏的代價是高的、無法接受的。事實上,很多資料洩露事件都是可以提前預防的。透過DevSecOps的概念的推動,與自動化系統的輔助,這些問題與風險都將被有效的降低,並可確保產出的安全與品質。而要做好DevSecOps的導入並不是這麼容易,本文將說明建置DevSecOps時的關鍵事項,以及如何更有效率且有效益的達成此目標。
 

DevSecOps的精神在於文化

DevSecOps是Development、Security和Operations的縮寫。DevSecOps的基本理念是讓每一個解決方案、開發測試、IT與維運及多個跨部門協作人員,都能融入開發的安全理念,並正確的理解DevOps的敏捷做法與含義,也就是說DevSecOps是一個群體做法,核心理念為「安全是整個團隊所有成員的責任,需要貫穿整個軟體生命週期的每一個環節。」,簡單來說,DevSecOps就是一種安全即文化的實現,因此,最重要的是,將DevSecOps中的安全環節,與每個團隊的利益相互結合,最終須融入整個企業文化中[2]。
 
DevSecOps就是一種安全即文化的實現
DevSecOps就是一種安全即文化的實現

 

團隊合作實踐資安

DevSecOps的一大重點是讓開發團隊、維運團隊及資安團隊彼此相互合作,能站在對方的角度客觀看待問題,解決過去互相對立或牽制的問題。維運人員通常不大了解開發或資安,而開發人員也不擅長維運或資安;DevSecOps就是希望打破這條隔閡,將「做資安」的權限與責任進行分工,並讓資安團隊參與其中,居中溝通協調,一起主動實踐資安、一起面對和處理弱點、一起讓產品更安全[2]。
 

軟體開發時導入DevSecOps 自動化系統可降低門檻

根據IBM的研究統計資料顯示,產品在釋出之後修復安全問題,比在設計階段時解決,其成本多出4到5倍,而在維運階段才修復安全問題,其成本將達到、甚至超出100倍[3]。因此,DevSecOps需要在軟體開發前期介入,內容包括對開發、維運人員的安全意識及安全開發規範的教育訓練、安全需求(非功能需求)的匯入、以及前期的程式碼稽核工作等。雖然在DevSecOps模式中,看似安全環節增加了工作內容,但從整個軟體生命週期的開發與維護成本來看,提前發現問題可讓成本大幅降低。

此外,DevSecOps的安全工作經常被誤以為會造成開發上的瓶頸,例如安全要求太多、測試與評估時間太長,或安全監控實施困難等[3],事實上,這是由於大多數的公司不願投入人力又不知如何進行自動化,導致無法將DevSecOps與現有流程及文化進行整合而失敗。DevSecOps採用的是快速疊代的開發方式,讓應用系統在最短週期內,實現應有的價值與安全屬性[4],相較於其他資訊安全方法論,更為快速、彈性,因此,自動化的介入,可以協助團隊更輕易的達成DevSecOps的實現,且使其更具有實務價值與效益。
 

須精準掌握資安問題 即時移除嚴重弱點

許多情況下,團隊為了加速產品的開發與上市時程,產品上的軟體並不完全是自主研發,而是採用公開的原始碼(Open Source)或函式庫中蒐集、整合大量的預編譯組件及函式庫,例如GitHub、SourceForge 或Docker Hub等,自行撰寫的程式碼,在現成軟體中所占的比率也大幅降低[5],相對應的,安全風險的問題焦點也有所轉移。大多數資安風險都可以通過識別這些公開的函式庫、第三方組件的已知弱點和錯誤配置來完成,待問題解決後才投入生產。從安全的角度來看,識別Open Source 中的已知弱點,比發掘自行撰寫的程式碼中的未知弱點要容易的多,最簡單快速的一種方式,便是將Open Source或第三方組件與弱點資料庫做比對。

除上述在設計與開發階段所提到的自動化安全弱點分析比對外,第三方安全測試工具的支援也扮演重要的角色,如何有效的進行安全確認與弱點驗證,確保在產品最終釋出之前,將大多數風險移除,便是開發團隊實現安全開發的重要關卡。
 

安全文化需貫穿整個DevSecOps流程

而在產品釋出後的維運階段,最重要的則是持續性的,隨時監控與即時處理來自內部或外部的安全威脅,例如對外伺服器是否遭到攻擊、自家產品弱點是否在未被通知的情況下公開揭露於網路上、是否有最新的Open Source弱點被發現,最後則是隨時關注最新的網路攻擊趨勢,以即早採取相對應的安全防護措施。

以過去的經驗來看,在這個階段,團隊通常是最缺乏溝通與合作的,特別是針對產品的安全問題,維運團隊無法與開發團隊建立起一個有效與明確的分工方式,加上部門主責的重點不同,導致當產品安全問題發生時,最終還是開發團隊被推出來一線直接面對,維運團隊始終無法施上助力。這時最好的解決方法,便是建立一套標準程序(SOP),明確的說明各團隊的責任與分工,以及當事件發生時的處理流程;當然,其中一個重點,還是須要有專責的團隊與人力來居中協調,而安全團隊是可以扮演此角色的最佳人選[6][7]。

若相關團隊能長期累積相關資安事件的溝通協調與處理經驗,甚至於將相關安全資訊回饋至開發團隊,除了能使整體流程與措施更加完善外,相信可以一定程度上達到預測或預防網路攻擊事件或產品弱點的發生,這也是DevSecOps重要的環節與精神。
 

採用DevSecOps的效益 縮短事件處理時間

透過DevSecOps的流程建立,可有效整合開發、安全與維運團隊之間的溝通管道,縮短事件的反應時間,這將會是最直接且明顯的好處;依據DigiCert公司的調查報告顯示,有98%的企業正在或計畫採用DevSecOps[8];另根據統計資料顯示,未導入DevSecOps的企業,需要174天的時間才能完成修補動態安全測試時所發現的弱點,但若使用DevSecOps的企業,則僅需92天就可以完成,差距將近2倍的時間;此外,對於DevSecOps的企業而言,在所有被發現的弱點中,有53%的比例能夠在10天之內完成修補,而未導入的企業,則只有5%可在10天之內修補完成[9]。從這些數字上差距,正可證明導入DevSecOps是可以加快弱點或事件的處理事效,換言之,也當然具備了降低相關成本費用的好處。
 

HERCULES SecFlow自動化特色 滿足敏捷開發且兼顧安全品質

由安華聯網自行研發的 HERCULES SecFlow 便提供實現DevSecOps流程的自動化輔助功能,讓使用者快速且方便的建立資安溝通管道與機制,能各自賦與相關團隊對應的權責,經由指派任務、審核和回報功能,讓所有團隊更快速的適應產品安全開發觀念。透過SecFlow的政策模組,資安團隊可對相關人員(如研發團隊或維運團隊)等發布資安相關資訊、程式碼的安全開發注意事項等,經由一系列的指派和簽核流程,以及最新資訊的提供,可達成加強各個團隊的資安意識。

SecFlow具備更完整的弱點管理功能,除提供多種第三方安全測試報告的匯入與弱點追蹤外,更可協助使用者建立產品與組件及資安情資的對應關係,透過強大的資料搜集器,將大量的國際弱點資料與即時的資安新聞事件匯整分析為資安情資,並採用機器學習方式,自動與產品進行關聯,快速對應出與自家產品相關的弱點、資安新聞、資安事件等資訊,讓相關團隊隨時掌握產品的資安風險程度,並能立即移除或修補已知的嚴重弱點。最後,更可透過主動電子郵件示警以及行動應用App,使資安管理人員能準確掌握弱點資訊與處理進度,確保每個事件都已被修正或改善。
 
SecFlow與DevSecOps的結合
SecFlow與DevSecOps的結合
 

SecFlow扮演了在DevSecOps的自動化上的關鍵角色,除了省掉需要人工介入的團隊資訊交換、資安訊息整理,以及清查產品弱點與Open Source管理等耗時又耗力的工作,加上先進的資料搜集分析演算法,自動關聯過濾出準確且必須處理的資安弱點或事件,並透過即時示警機制,快速協助使用者處理與追蹤資安議題,確保資安情資能在每個階段中,回饋給所有團隊。誰說安全與敏捷開發不易維持平衡? 透過SecFlow可以做的到,讓DevSecOps的實施,能夠完全適應各個團隊,而不是造成更大的負擔!
 

關於HERCULES SecFlow

HERCULES SecFlow是「產品資安管理系統」,針對產品開發相關團隊,以Security by Design的原則,提供自動化系統管理機制,管理與追蹤DevSecOps的每個階段,以及所需要的資安流程與措施,連結開發、安全、維運團隊,快速建立安全的軟體開發流程;SecFlow可即時提供資安弱點與資安事件訊息,透過自動化弱點分析與管理功能,確保產品與第三方套件的安全性,降低軟體開發過程衍生的資安風險,提升整體安全應變與處理效率,並避免產品安全問題所產生的爭議訴訟。


媒體報導
 
參考資料:
[1] 數位時代(12, 20, 2019), 2.67億筆個資遭公開下載!Facebook用戶資料外洩又爆一樁醜聞, https://www.bnext.com.tw/article/55989/267-million-phone-numbers-exposed-online
[2] Red Hat, What is DevSecOps?, https://www.redhat.com/en/topics/devops/what-is-devsecops
[3] KKNews, 大膽預測:現有IT開發和運營或將顛覆, https://kknews.cc/zh-tw/tech/mmmgqa9.html
[4] VERITIS(APRIL 10, 2018), Early Automation: A Key Requirement for DevSecOps Success, https://devops.com/early-automation-key-requirement-devsecops-success/
[5] 知呼, DevSecOps:應當做好的十件事, https://zhuanlan.zhihu.com/p/44691252
[6] Neil MacDonald, Mark Horvath, Ayal Tirosh, 16 November 2017, Integrating Security Into the DevSecOps Toolchain
[7] GSA, Understanding the Differences Between Agile & DevSecOps - from a Business Perspective, https://tech.gsa.gov/guides/understanding_differences_agile_devsecops/
[8] DgiCert(July 19, 2017), DigiCert Survey Shows Enterprises Integrating Security Teams into DevOps, https://www.digicert.com/news/survey-integrating-security-into-devops/
[9] https://www.csoonline.com/article/3245748/what-is-devsecops-developing-more-secure-applications.html

詢問

聯絡我們
感謝您的造訪,請留下您的聯絡方式,後續會有專人回覆您的需求。
  • 安華聯網致力於保護您的隱私。 您的資料不會與第三方共享,您將不定期收到資安相關訊息和活動。 您可以隨時退訂。 欲了解更多,請閱讀我們的隱私權政策。 左方請勾選是否同意安華聯網隱私權政策,以便提供您相關內容。

為何選擇安華聯網

深度資安檢測技術+

  • 已發現40+全球首發安全弱點(CVE)
  • 已發掘3000+物聯網安全弱點

深耕物聯網產品安全+

  • 執行150+物聯網產業相關資安專案
  • 測試超過700+連網產品安全

全球合規與認驗證能力+

  • 協助全球10+國家與300+客戶通過認驗證
  • 具工控、金融、醫療、車載等產業合規經驗
WeChat
本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。