Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。
开发人员总是处于过度劳累的状态。 他们面临着来自业务的持续不断的以功能为中心的工作,并且需要在这些工作与涉及性能、质量和可靠性以及技术债务的工作之间取得平衡。 虽然 DevOps 和高度自动化的 CI/CD 管道通过消除低价值的非开发任务提高了开发人员的工作效率,但实际上却加大了交付的压力。 根据2018 年 DORA Accelerate 报告: DevOps 现状报告显示,高绩效 DevOps 团队的代码部署频率比低绩效团队高 46 倍。 这对开发人员来说意味着更多的工作——令人高兴的是,这是更多影响深远的工作,但无论如何,工作量仍然更大。
现在,安全行业告诉这些组织,他们需要“将安全左移”并拥抱 DevSecOps。 这意味着将安全责任转移到开发过程的早期,并将其纳入软件开发和交付的 DevOps 方法中。 从原则上来说这听起来很棒,但 DevSecOps 对话很少以建议雇用更多软件工程师开始。 那么,已经超负荷工作的开发人员除了承担功能、质量、性能和技术债务之外,还要如何承担安全负担呢? 这并不是说他们不在乎;这只是时间问题。 在最近的 Threat Stack 报告中,44% 的 DevOps 专业人士表示他们必须依靠其他人来解决与安全相关的问题。 即使他们花了一些时间专注于安全问题,许多开发人员也缺乏如何提高其应用安全性的专业知识。 2016 年的一项研究发现,在美国排名前十的计算机科学课程中,没有一个课程要求参加网络安全课程才能毕业。
对于许多开发人员来说,“左移”听起来很像“把更多的工作丢给我们”。
安全团队并非没有同情心。 多年来,他们一直感受到软件太多而安全覆盖太少的压力。 许多组织缺乏专门的应用安全团队,而即使有团队,人员也非常紧张。 根据BSIMM 的最新调查,拥有正式软件安全团队的公司平均每 75 名开发人员仅需配备一名安全团队成员! 你可以肯定,单个安全专家不想成为阻碍 75 名开发人员实现向企业承诺的客户价值的人! 在今年的 RSA 大会上, 40% 的受访者表示,实施应用安全计划的最大障碍是它们对应用开发或部署的灵活性和速度的影响。
那么解决方案是什么? 安全问题不能简单地转移到准备不足、工作过度的开发团队的积压工作上,但 AppSec 团队缺乏人力和 SDLC 访问权限,无法在流程早期解决应用风险。
我们最近将 Threat Stack应用安全监控(又名 AppSec 监控)引入到我们的全栈云安全可观察性解决方案中,作为 Threat Stack Cloud Security Platform® 的一部分(无需额外费用)。 AppSec Monitoring 旨在正面解决这些 DevSecOps 挑战。 我们相信,当我们满足以下三个目标时,DevOps 世界中的应用安全就可以实现:
开发人员在开发开始时将 AppSec 监控作为依赖项添加到他们的应用中,就像任何其他第三方组件一样。 向应用添加了一行初始化函数,这就是启动所需的全部内容。 无需安装任何服务器或附加工具,也无需编写或管理测试。 每次应用运行时,AppSec Monitoring 都会在后台静默运行,因此开发人员可以继续进行开发工作而不会减慢速度。 从那时起直到 SDLC 的剩余部分,AppSec 监控继续在应用内部运行,以帮助团队保护和降低风险。
(只需添加一行代码即可将 Threat Stack AppSec 监控添加到任何 Node.js应用中。)
每次应用运行时 - 无论是在开发人员的本地机器上、在构建环境中、在测试中还是在生产中 - Threat Stack 都会分析应用以识别潜在风险。 这可能是使用弱加密、不安全的方法调用、不正确的数据库配置,甚至使用已知的易受攻击的第三方组件所带来的风险。 团队中的安全专家(或开发人员自己)可以审查调查结果以决定首先解决哪些问题——Threat Stack 可以通过按风险级别对它们进行分类来提供帮助。
只有当开发人员拥有解决风险所需的信息时,才能降低风险。 AppSec Monitoring 以电子学习内容的形式提供此服务,以开发人员自己的语言向他们解释风险,并提供代码示例和进一步外部学习内容的链接。 它还可以帮助开发人员在其应用中精确地找到风险的位置——突出显示方法和模块名称、文件名甚至行号——无论风险是在他们自己的本机代码中还是在第三方组件中。 开发人员可以了解问题并根据上下文在代码中查找和修复问题,所有这些都在开发的最早阶段进行,因为此时修复起来更容易、更便宜。
有了这三大好处——早期风险识别、优先排序帮助以及应对风险的背景和培训——应用安全性就不会左移: 它向左伸展。 它嵌入在流程中并促进开发和安全团队之间的合作。
即使在开发时采取了最佳的安全措施,恶意行为者仍可能尝试攻击生产中的应用。 如果他们这样做,Threat Stack应用安全监控也可以实时检测并阻止这些攻击。 我们将在下一篇文章中详细介绍其工作原理。
要了解有关 Threat Stackapplication安全监控的更多信息(该功能作为 Threat Stack 云安全平台的一部分免费提供),请注册获取演示。 我们的安全专家将很乐意讨论您的具体安全和合规要求。
Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。