應用安全“左移”的下一步：SecDevOps

一個Log4Shell“滿級漏洞”已經攪得全球企業雞飛狗跳昏天黑地，而漏洞的修復則更是劇情狗血，冗長拖沓。Log4Shell不是第一個，也不會是最后一個，敲響人們應用安全危局的警鐘。

應用安全的下一步怎么走，DevSecOps是“安全左移”的目標還是路標？安全左移的下一步到底是什么？

自動化推動安全進一步左移

根據Veracode最新披露的數據，網絡安全正變得更加自動化和組件化，以符合現代軟件架構和開發實踐。

對2020年9月至2021年10月的13個月期間的5,446,170次靜態掃描和超過310,000個應用程序的分析發現，API和微服務等小型應用程序的數量驚人地增長了143%，通過API執行的自動掃描增長了133%。

顯然，在過去的18個月里，新冠疫情加速了數字化轉型，企業正在積極競爭，搶先推出數字產品和服務。開發人員比以往任何時候都更快地開發和部署軟件的壓力促使他們轉向DevSecOps——集成開發、安全和運營，使應用程序安全成為軟件生命周期不可或缺的一部分。最終，公司正在應用AppSec控制來確保開發過程的完整性，并在整個企業中擴展DevSecOps管道模式。

Veracode首席技術官Chris Wysopal表示：“隨著企業將人工智能和機器學習用于漏洞識別、威脅建模和修復，軟件開發自動化和組件化的流行也推動了軟件安全和自動化需求的急劇增加。”“我們已經看到DevSecOps迅速成熟，現在有機會將安全進一步轉移到設計階段，成為SecDevOps。”

組件化提高速度和效率

除了自動化的上升趨勢外，Veracode還發現所分析代碼的復雜性和數量呈下降趨勢，每次掃描的平均模塊數量減少30%就證明了這一點，這表明掃描的重點正轉向單個組件或微服務。考慮到組件化應用程序和DevOps實踐的快速采用，這并不奇怪。

將大型應用程序分解為小的可重用組件（或微服務）后，開發人員可以以更敏捷的方式工作，以快速迭代并以增量方式持續交付。有趣的是，軟件開發領域“API優先”的興起實際上提高了軟件安全性，當對API或微服務使用靜態分析時，修復漏洞的平均時間減少了約50%。API掃描還使組織能夠盡早有效地發現和修復API中的漏洞。

設計安全：從DevSecOps到SecDevOps

隨著現代軟件開發的成本和復雜性不斷上升，企業將越來越需要一個工具精簡的，全面、完全集成的安全平臺。該平臺支持普遍或持續的安全性，因為它：

• 從設計階段就開始，通過威脅建模確保僅將安全的組件納入設計。這意味著安全性進一步轉移，DevSecOps現在變成了SecDevOps，以確保軟件“設計安全”。
• 完全集成，但也對新技術插件開放，覆蓋代碼分析的每個可能維度。這種“單一管理平臺”方法使安全專業人員和開發人員能夠了解風險、確定修復工作的優先級，并跨多個維度定義和監控進度目標。
• 提供順暢的開發人員體驗，使安全分析能夠滿足開發人員的工作需求——通過IDE（集成開發環境）、CI/CD（持續集成持續開發）管道、代碼和容器存儲庫以及缺陷跟蹤系統。

Wysopal補充說：“最近一些備受矚目的攻擊，例如Solar Winds供應鏈攻擊，已經讓軟件供應鏈的漏洞成為人們關注的焦點。”“企業現在尋求軟件安全的下一次發展，以求安心。這意味著提供持續編排的保證，例如策略定義和管理、具有‘自我修復’能力的內聯修復以及能夠檢測底層組件更改引入的任何漏洞的的runtime情報。”

軟件漏洞的數量和威脅都在日益增長，近日引發全球恐慌的Log4j2.x中的零日漏洞仍在被利用中，對于應用開發和網絡安全團隊來說，軟件安全繼續向左移動到SecDevOps的重要性和緊迫性已經不言而喻。

（來源：@GoUpSec）