【51CTO.com在过去的六年里,我一直在做快译Veracode项目管理。在那段时间里,我学到了很多部署AppSec不同的策略 *** 。通常,安全团队(CISO / CIO领导)部署适合开发人员和工程师的部署AppSec策略。然而,随着软件开发和发布方式的快速变化,几年前部署的大多数安全策略不再被开发社区所接受。当我们不快速时,可以插入自动安全工具SDLC建立了许多应用程序安全策略。现在,随着团队的转移DevOps和CI / CD,比以往任何时候都更重要的是重新制定新的策略,这些策略和开发人员“快速获得良好代码”目标是一致的,而不是违反。
基于多年的工作经验,我整理了调整应用程序安全策略时需要考虑的一些事项,如下:
首先,实施可行的政策
如果***引入安全或***要实施安全,首先要制定一些可实现的政策标准。不要让一个从未采取过安全措施的团队试图满足PCI或所有OWASP要求;因为他们不能满足,在开始之前就放弃了。
从一个简单的政策开始:没有高或非常高的关键缺陷。随着时间的推移,开发人员在日常工作中采用安全措施将会变得更加严格。
不仅包括不允许的缺陷类型
必须包括静态、动态、组合分析和其他类型的评估。他们需要多长时间才能解决问题?根据缺陷的临界点增加宽限期,即在5天内确定非常严重的缺陷;15天内修复中等严重缺陷;低临界缺陷不需要固定期限。
此外,增加频率和阶段要求。他们需要扫描多长时间,在哪个发展阶段?这与所需的评估类型一致。DevOps占有一席之地,安全性必须越来越向左移动。
正确控制你的政策
开发团队的发布速度越来越快。在保证速度的同时,还需要确保策略与开发人员在开发周期中使用的安全工具和解决方案一致。例如,在发布周期结束时,不需要每次发布或测试。除了发布过程,将此类要求更改为季度。每日发布周期包括静态自动化测试。此外,并非所有应用程序都是平等的,因此您需要为不同的应用程序创建不同的需求。例如:有IP该应用程序面向公众,第三方组件可能需要修复所有中等到非常严重的缺陷,单页临时营销网站可能只需要修复高/非常高的缺陷。
治理
绝对有应用程序安全策略***做法,但如果没有治理,也没用。确保跟踪政策的依从性(现在很多工具都内置了可以报告的战略管理器)是安全的。
此外,如果政策失败,安全需要与发展合作,并进行团队培训,如培训、研讨会、在线研讨会、电子教学和讲师指导的旗帜活动。
关键要点
•开发环境正在发生变化,以确保你的安全策略与他们合作,而不是针对他们。
•需要成为安全策略“不判断区”。利用它们来帮助教育开发团队理解它们正在努力的方向,而不是批评它们的失败。
•不要严格。首先制定策略,然后提高团队成员构建安全代码negligence,并随着时间的推移提供相应的训练,使其能力更强。
作者:Pejman Pourmousa
原文地址:https://dzone.com/articles/application-security-policy-might-need-to-revisit
【51CTO转载合作网站时,请注明原译者和出处51CTO.com】
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。