DevSecOps资讯汇编 第十二期

DevSecOps资讯汇编

第十二期

DevSecOps

• 从SDLC到DevOps下的广义应用安全管控体系

  • 文章质量还是非常高，如果做这块的实施，有必要仔细读一读，我这里简单地做一下介绍
  • 以业务、安全为矛盾切入DevOps下的应用安全管控体系，围绕要求-检测-管控-防护思想（PDCA思想的某些形式的体现）进行设计，整体安全活动和SDL区别不大，主要以工具和标准化组件进行推进
  • 除了常规点以外，以下几点可以关注，也是我觉得的趋势所在：
    • 漏洞积分，到达一定限度后，强制进行安全考试（当然这部分工作的实现方式还有几种），还是比较有创造力的
    • 嵌入IDE的安全编码助手插件（左移必然，需要回到研发客户端，解决生产的问题）
    • DAST被动+主动式的动态扫描器，（IAST确实是一个很好的技术方向，但是如果没有办法引入一定的主动性还是比较有限的）
    • SDLC执行检查（质量、规范），通过检测的版本迭代漏洞溯源SDLC执行过程质量（看不出实现的方式， 从描述来看，是一个不错的反馈机制）

• 2020年Gartner十大安全项目发布

• 12 Things to Get Right for Successful DevSecOps

  • 方向上还是指导意义还是很明确，至少与我这边的计划方向是相同，这里摘录几点个人觉得比较关键的，其他内容可查看原文
    1. 安全测试工具和流程应当适应开发人员，而不是让开发人员去适应
    2. 避免尝试解决开发过程中所有漏洞（含义是不刻意追求完美，但并不是指的 很多漏洞可以不修复）
    3. 开源软件漏洞
    4. 不期望其他人能成为安全专家（更多的是指不要对其他人抱有过高的要求尤其是人因素，需要提供尽可能多的易用的支撑）

• why Securing Secrets in Cloud and Container Environments Is Important – and How to Do It | 为什么保护云和容器环境中的机密信息很重要以及如何实现

  • 文章主要通过实际的一些事件造成的损失体现重要性， 其本质是目前大量使用了IAC（基础设施即代码）的思想，通过仓库去维护环境信息和控制部署
  • 实现上主要通过几款工具（引用此文的主要目的）
    1. git-secrets
    2. detect-secrets
    3. Vault
    4. Kubernetes Secrets
    5. DLP 相关技术

• Get effective DevSecOps with version control | 通过版本控制有效实现DevSecOps

  • 文章指通过在分支版本的合并过程中对安全性进行约束和要求，从而将安全引入到软件开发过程中。针对具体的分支管理提供了三类参考流程
    1. 集中式的工作流程： 团队对同一个分支进行操作，类似svn
    2. 功能分支工作流程： 按功能划分不同的分支进行流程工作
    3. GitFlow工作流程： 对分支作用进行分类，例如功能分支、发布分支、开发分支、主要分支等，对发布历史进行严格审核

• （视频）DEF CON 28 Safe Mode AppSec Village – David Waldrop’s ‘The DevOps And Agile Security Toolkit’| DevOps和敏捷安全工具包

• 6 Signs DevSecOps Maturity Has a Long Way to Go | 6个迹象表明devsecops成熟度仍有很长的路要走

  • 文章表示对于大多数企业而言DevSecOps的认识和计划尚未形成大规模的安全转型，要达到DevSecOps成熟度的中等水平还有很长的路要走（实际是7个）
    1. 安全执行过程在为了devops的效益大部分被放弃
    2. 大部分开发人员仍然没有认真对待应用程序的安全性
    3. 缺陷缺乏有效的优先级排序，发现漏洞速度超过解决漏洞速度
    4. 缺乏高层有效支持
    5. 开发人员没有足够有效的安全培训
    6. security as code 仍然是一个梦想
    7. 云原生安全

Collected By Alkaid

PS： 目前国内的消息源有限，如果有相应方面（SDLC、自动化、DevSecOps、威胁建模、应用安全、云安全）的文章，可以邮件alkaid.guang@gmail.com ，谢谢