Eagla agus Loathing DevSecOps

Bhí 2 anailíseoir cód againn, 4 uirlis tástála dhinimiciúla, ár gceardaíocht féin agus 250 script. Ní raibh sé seo go léir ag teastáil sa phróiseas reatha, ach nuair a thosaigh tú ag cur DevSecOps i bhfeidhm, ní mór duit dul go dtí an deireadh.

Foinse. Carachtair cruthaithe ag Justin Roiland agus Dan Harmon.

Cad é SecDevOps? Cad faoi DevSecOps? Cad iad na difríochtaí? Slándáil Feidhmchláir - cad faoi? Cén fáth nach n-oibríonn an cur chuige clasaiceach a thuilleadh? Tá a fhios ag na ceisteanna seo go léir an freagra Yuri Shabalin de Slándáil Éisc Sholamón. Freagróidh Yuriy gach rud go mion agus déanfaidh sé anailís ar na fadhbanna a bhaineann le haistriú ón tsamhail clasaiceach Slándála Feidhmchláir go próiseas DevSecOps: conas cur chuige ceart a dhéanamh ar chomhtháthú an phróisis forbartha slán i bpróiseas DevOps agus gan aon rud a bhriseadh, conas dul trí na príomhchéimeanna tástáil slándála, cad iad na huirlisí is féidir a úsáid, conas iad a bheith éagsúil agus conas iad a chumrú i gceart chun gaistí a sheachaint.

Maidir leis an gcainteoir: Yuri Shabalin - Príomh-Ailtire Slándála sa chuideachta Slándáil Éisc Sholamón. Freagrach as cur i bhfeidhm SSDL, as comhtháthú iomlán uirlisí anailíse feidhmchláir in éiceachóras forbartha agus tástála amháin. 7 mbliana de thaithí i slándáil faisnéise. D'oibrigh sé ag Alfa-Bank, Sberbank agus Positive Technologies, a fhorbraíonn bogearraí agus a sholáthraíonn seirbhísí. Cainteoir ag comhdhálacha idirnáisiúnta ZerONights, PHdays, RISSPA, OWASP.

Slándáil Feidhmchláir: cad faoi atá sé?

Slándáil Iarratais an rannóg slándála atá freagrach as slándáil feidhmchlár. Ní bhaineann sé seo le slándáil bonneagair nó líonra, ach faoin méid a scríobhaimid agus cad a oibríonn forbróirí air - is iad seo lochtanna agus leochaileachtaí an fheidhmchláir féin.

Treo SDL nó SDLC - Saolré forbartha slándála - Arna fhorbairt ag Microsoft. Taispeánann an léaráid múnla canonical SDLC, is é an príomhthasc atá ann ná rannpháirtíocht na slándála ag gach céim den fhorbairt, ó na ceanglais, a scaoileadh agus a scaoileadh go dtí an táirgeadh. Thuig Microsoft go bhfuil an iomarca fabhtanna sa prom, go bhfuil níos mó acu agus ní mór rud éigin a dhéanamh faoi, agus mhol siad an cur chuige seo, rud a tháinig chun bheith canónach.

Níl Slándáil Feidhmchláir agus SSDL dírithe ar leochaileachtaí a bhrath, mar a chreidtear go coitianta, ach ar a dtarlú a chosc. Le himeacht ama, tá an cur chuige canonical ó Microsoft feabhsaithe, forbartha, tá tumoideachas mionsonraithe níos doimhne aige.

Tá an SDLC canonical an-mhionsonraithe i modheolaíochtaí éagsúla - OpenSAMM, BSIMM, OWASP. Tá difríocht idir na modheolaíochtaí, ach tá siad cosúil go ginearálta.

Slándáil Tógála Faoi Lán Aibíochta

Is fearr liom é BSIMM - Slándáil Tógála Faoi Lán Aibíochta. Is é bunús na modheolaíochta ná an próiseas Slándála Feidhmchláir a roinnt ina 4 réimse: Rialachas, Faisnéise, Pointí Tadhaill SSDL agus Imscaradh. Tá 12 cleachtas ag gach fearann, a léirítear mar 112 gníomhaíocht.

Tá gach ceann de na 112 gníomhaíochtaí 3 leibhéal aibíochta: bunleibhéal, idirmheánach agus ardleibhéal. Is féidir leat staidéar a dhéanamh ar na 12 cleachtas go léir i rannóga, roghnaigh rudaí atá tábhachtach duit, figiúr amach conas iad a chur i bhfeidhm agus gnéithe a chur leis de réir a chéile, mar shampla, anailís cód statach agus dinimiciúil nó athbhreithniú cód. Dréachtaíonn tú plean agus oibríonn tú dá réir go socair mar chuid de chur i bhfeidhm na ngníomhaíochtaí roghnaithe.

Cén fáth DevSecOps

Is próiseas mór foriomlán é DevOps inar gá aird a thabhairt ar shlándáil.

Ar dtús DevOps seiceálacha slándála i gceist. Go praiticiúil, bhí líon na bhfoirne slándála i bhfad níos lú ná mar atá anois, agus ghníomhaigh siad ní mar rannpháirtithe sa phróiseas, ach mar chomhlacht rialaithe agus maoirseachta a dhéanann éilimh air agus a sheiceálann cáilíocht an táirge ag deireadh an scaoilte. Is cur chuige clasaiceach é seo ina raibh foirne slándála taobh thiar de bhalla ó fhorbairt agus nár ghlac siad páirt sa phróiseas.

Is í an fhadhb is mó ná go bhfuil slándáil faisnéise ar leithligh ón bhforbairt. De ghnáth is ciorcad IB de chineál éigin é seo agus tá 2-3 uirlis mhóra agus costasach ann. Uair amháin gach sé mhí, tagann an cód foinse nó an feidhmchlár chun a thástáil, agus uair sa bhliain Pentests. Mar thoradh air seo go léir go gcuirtear siar na dátaí scaoilte don tionscal, agus go dtagann líon mór leochaileachtaí ó uirlisí uathoibrithe amach ar an bhforbróir. Tá sé dodhéanta é seo go léir a dhíchóimeáil agus a dheisiú, mar fiú sna sé mhí roimhe sin níor díchóimeáil na torthaí, agus anseo tá baisc nua.

Le linn obair ár gcuideachta, feicimid go dtuigeann slándáil i ngach réimse agus tionscal go bhfuil sé in am teacht suas agus casadh leis an bhforbairt i roth amháin - i Agile. Luíonn paradigm DevSecOps go foirfe le modheolaíocht forbartha lúfar, cur i bhfeidhm, tacaíocht, agus rannpháirtíocht i ngach eisiúint agus atriall.

Aistriú go DevSecOps

Is é an focal is tábhachtaí sa Saolré Forbartha Slándála "próiseas". Ní mór duit é seo a thuiscint roimh smaoineamh ar uirlisí a cheannach.

Ní leor uirlisí a chur san áireamh i bpróiseas DevOps - tá cumarsáid agus tuiscint idir rannpháirtithe an phróisis tábhachtach.

Tá daoine níos tábhachtaí ná uirlisí

Go minic tosaíonn pleanáil próisis shlán forbartha le huirlis a roghnú agus a cheannach, agus críochnaíonn sé le hiarrachtaí an uirlis a chomhtháthú sa phróiseas reatha, iarrachtaí atá fós ann. Tá iarmhairtí brónach mar thoradh air seo, toisc go bhfuil a saintréithe agus a teorainneacha féin ag gach uirlis.

Is cás coitianta é nuair a roghnaigh an roinn slándála uirlis mhaith, daor le raon leathan gnéithe agus tháinig sé chuig na forbróirí chun é a chur isteach sa phróiseas. Ach ní oibríonn sé - déantar an próiseas a dhearadh sa chaoi is nach dtagann teorainneacha na hionstraime a ceannaíodh cheana féin leis an paraidím reatha.

Ar dtús, déan cur síos ar an toradh atá uait agus ar an gcuma a bheidh ar an bpróiseas. Cabhróidh sé seo le róil na huirlise agus le slándáil sa phróiseas a thuiscint.

Tosaigh leis an méid atá in úsáid cheana féin

Sula gceannaíonn tú uirlisí daor, féach ar an méid atá agat cheana féin. Tá ceanglais slándála ag gach cuideachta a bhaineann le forbairt, tá seiceálacha, pentests - cén fáth nach chlaochlú seo go léir i bhfoirm intuigthe agus áisiúil do gach duine?

De ghnáth is iad na ceanglais Talmud páipéir atá suite ar seilf. Bhí cás ann nuair a tháinig muid chuig an gcuideachta chun breathnú ar na próisis agus iarraidh orthu na ceanglais slándála do na bogearraí a thaispeáint. Bhí an speisialtóir a rinne é seo ag lorg ar feadh i bhfad:

- Anois, áit éigin sna nótaí bhí cosán ina luíonn an doiciméad seo.

Mar thoradh air sin, fuaireamar an doiciméad seachtain ina dhiaidh sin.

Le haghaidh ceanglais, seiceálacha agus níos mó, cruthaigh leathanach, mar shampla ag Cumar - tá sé áisiúil do gach duine.

Tá sé níos éasca a bhfuil ann cheana féin a athfhormáidiú agus é a úsáid le tosú.

Bain úsáid as Seaimpíní Slándála

De ghnáth, i meánchuideachta d'fhorbróirí 100-200, tá oifigeach slándála amháin ann a chomhlíonann roinnt feidhmeanna agus nach bhfuil am aige go fisiciúil gach rud a sheiceáil. Fiú má dhéanann sé a dhícheall, ní dhéanfaidh sé féin an cód go léir a ghineann an fhorbairt a sheiceáil. I gcásanna den sórt sin, forbraíodh coincheap - Seaimpíní Slándála.

Is é atá i Seaimpíní Slándála ná duine laistigh den fhoireann forbartha a bhfuil suim aige i slándáil do tháirge.

Is pointe iontrála é an Curadh Slándála don fhoireann forbartha agus soiscéalaí slándála ar fad i gceann amháin.

De ghnáth, nuair a thagann oifigeach slándála chuig an bhfoireann forbartha agus go dtugann sé faoi deara earráid sa chód, faigheann sé freagra iontasach:

- Agus cé hé túsa? Feicim thú don chéad uair. Tá gach rud go breá liom - chuir mo chara sinsearach “iarratas” ar an athbhreithniú cód, bogaimid ar aghaidh!

Is gnáthchás é seo, toisc go bhfuil muinín i bhfad níos mó i seanóirí nó i gcomhghleacaithe foirne lena n-idirghníomhaíonn an forbróir i gcónaí ag an obair agus i athbhreithniú cód. Más rud é, in ionad garda slándála, go léiríonn an Curadh Slándála an earráid agus na hiarmhairtí, ansin beidh níos mó meáchain ag a chuid focal.

Chomh maith leis sin, tá a fhios ag forbróirí a gcód níos fearr ná aon fhear slándála. I gcás duine a bhfuil 5 thionscadal ar a laghad aige in uirlis anailíse statach, de ghnáth bíonn sé deacair cuimhneamh ar na nuances go léir. Tá a fhios ag Seaimpíní Slándála a dtáirge: cad a idirghníomhaíonn leis an méid agus cad atá le breathnú ar an gcéad dul síos - tá siad níos éifeachtaí.

Mar sin smaoinigh ar na Seaimpíní Slándála a chur i bhfeidhm agus tionchar na foirne slándála a leathnú. Maidir leis an gcraobh féin, tá sé seo úsáideach freisin: forbairt ghairmiúil i réimse nua, leathnú na radharcanna teicniúla, scileanna teicniúla, bainistíochta agus ceannaireachta a phumpáil, luach an mhargaidh a mhéadú. Is gné éigin den innealtóireacht shóisialta é seo, do "shúile" san fhoireann forbartha.

Céimeanna tástála

Paradigm 20 ag 80 deir go dtugann 20% de na hiarrachtaí 80% de na torthaí. Is cleachtais anailíse feidhmchlár iad an 20% seo ar féidir agus ar chóir iad a uathoibriú. Samplaí de ghníomhaíochtaí den sórt sin is ea anailís statach − SAST, anailís dhinimiciúil — DAST и rialú foinse oscailte. Inseoidh mé duit níos mó faoi ghníomhaíochtaí, chomh maith le huirlisí, cad iad na gnéithe a bhíonn againn de ghnáth nuair a thugtar isteach sa phróiseas iad, agus conas é a dhéanamh i gceart.

Fadhbanna príomhuirlis

Díreoidh mé aird ar na fadhbanna atá ábhartha do na hionstraimí uile a dteastaíonn aird orthu. Déanfaidh mé anailís níos mine orthu ionas nach ndéanfar athrá arís.

Am anailíse fada. Má thógann sé 30 nóiméad le haghaidh gach tástáil agus cóimeála ó thiomnú go scaoileadh le haghaidh táirgeadh, tógfaidh seiceálacha slándála faisnéise lá. Mar sin ní bheidh aon duine mall síos ar an bpróiseas. Smaoinigh ar an ngné seo agus tarraing conclúidí.

Ard Bréagach Diúltach nó Bréagach Dearfach. Tá na táirgí go léir difriúil, úsáideann siad go léir creataí éagsúla agus a stíl códaithe féin. Ar bhoinn cód agus teicneolaíochtaí éagsúla, is féidir le huirlisí leibhéil éagsúla Bréagach Diúltach agus Bréagach Dearfach a thaispeáint. Mar sin féach cad atá i do cuideachtaí agus le haghaidh do léireoidh feidhmchláir toradh maith iontaofa.

Gan aon chomhtháthú le huirlisí atá ann cheana féin. Féach ar na huirlisí i dtéarmaí comhtháthú leis an méid a úsáideann tú cheana féin. Mar shampla, má tá Jenkins nó TeamCity agat, seiceáil comhtháthú uirlisí leis na bogearraí seo, agus ní le GitLab CI, nach n-úsáideann tú.

Easpa nó castacht iomarcach saincheaptha. Mura bhfuil API ag an uirlis, cén fáth a bhfuil gá leis? Ba cheart go mbeadh gach rud is féidir a dhéanamh sa chomhéadan ar fáil tríd an API. Go hidéalach, ba cheart go mbeadh an cumas ag an uirlis seiceálacha a shaincheapadh.

Uimh treochlár forbartha táirge. Ní sheasann an fhorbairt, bainimid úsáid i gcónaí as creataí agus feidhmeanna nua, athscríobhaimid seanchód go teangacha nua. Ba mhaith linn a chinntiú go dtacóidh an uirlis a cheannaímid le creataí agus teicneolaíochtaí nua. Dá bhrí sin, tá sé tábhachtach go mbeadh a fhios go bhfuil fíor agus ceart ag an táirge Treochlár Forbairt.

Gnéithe próisis

Chomh maith le gnéithe na n-uirlisí, smaoinigh ar ghnéithe an phróisis forbartha. Mar shampla, is botún tipiciúil é cur isteach ar fhorbairt. Feicfimid cad iad na gnéithe eile ba cheart a chur san áireamh agus cad ba cheart don fhoireann slándála aird a thabhairt air.

Chun nach gcuirfí isteach ar fhorbairt agus ar spriocdhátaí scaoilte, cruthaigh rialacha éagsúla agus difriúil stopalláin taispeáin - critéir chun an próiseas tógála a stopadh i gcás leochaileachtaí - le haghaidh timpeallachtaí éagsúla. Mar shampla, tuigimid go bhfuil an brainse reatha ag dul chuig seastán forbartha nó UAT, mar sin ní stopaimid agus a rá:

- Tá leochaileachtaí agat anseo, ní rachaidh tú aon áit eile!

Ag an bpointe seo, tá sé tábhachtach a rá le forbróirí go bhfuil saincheisteanna slándála le breathnú amach.

Ní bacainn ar thástáil bhreise é láithreacht leochaileachtaí: lámhleabhar, comhtháthú nó lámhleabhar. Ar an láimh eile, ní mór dúinn feabhas a chur ar shlándáil an táirge ar bhealach éigin, agus ionas nach bhfaighidh na forbróirí scór ar an méid a aimsíonn an t-urrús. Mar sin, uaireanta déanaimid é seo: ag an seastán, nuair a rolladh amach go dtí an timpeallacht forbartha, ní dhéanaimid ach fógra a thabhairt don fhorbairt:

- Guys, tá fadhbanna agat, tabhair aird orthu le do thoil.

Ag an gcéim UAT, léirímid arís rabhaidh faoi leochaileachtaí, agus ag an gcéim scoir sa prom deirimid:

“A bhuachaillí, thugamar rabhadh duit arís agus arís eile, ní dhearna tú rud ar bith - ní ligfimid amach duit é seo.

Má labhairt linn faoi chód agus dinimic, ansin tá sé riachtanach a thaispeáint agus rabhadh a thabhairt faoi leochaileachtaí ach na gnéithe agus cód a bhí scríofa díreach sa ghné seo. Má bhog an forbróir an cnaipe faoi 3 picteilín agus inis muid dó go bhfuil sé instealladh SQL ann agus mar sin ní mór a shocrú go práinneach, tá sé seo mícheart. Breathnaigh ar an méid atá scríofa anois agus ar an athrú a thagann ar an bhfeidhmchlár.

Ligean le rá go bhfuil roinnt locht feidhmiúil againn - an bealach nár cheart don iarratas a bheith ag obair: ní aistrítear airgead, nuair a chliceálann tú ar an gcnaipe, níl aon aistriú go dtí an chéad leathanach eile, nó ní luchtaíonn an táirge. Lochtanna Slándála - is iad seo na lochtanna céanna, ach ní i gcomhthéacs an iarratais, ach slándála.

Ní ceisteanna slándála iad gach saincheist cáilíochta bogearraí. Ach baineann gach fadhb slándála le cáilíocht na mbogearraí. Sherif Mansour, Expedia.

Ós rud é go bhfuil na lochtanna céanna ag gach leochaileacht, ba chóir iad a bheith suite san áit chéanna le gach lochtanna forbartha. Mar sin déan dearmad faoi thuairiscí agus PDFanna scanrúla nach léann aon duine.

Nuair a bhí mé ag obair do chomhlacht forbartha, fuair mé tuairisc ó uirlisí anailíse statacha. D'oscail mé é, bhí uafás orm, rinne mé caife, chuir sé duilleoga trí 350 leathanach, dhún mé é agus chuaigh sé ag obair. Is tuarascálacha marbh iad tuairiscí móra. De ghnáth ní théann siad áit ar bith, scriostar ríomhphoist, déantar dearmad orthu, cailltear iad, nó deir an gnó go bhfuil rioscaí á nglacadh aige.

Cad atá le déanamh? Ní dhéanann muid ach na lochtanna deimhnithe a fuaireamar a thiontú go foirm atá áisiúil le haghaidh forbartha, mar shampla, é a chur leis an riaráiste i Jira. Tugtar tosaíocht do lochtanna agus cuirtear deireadh leo in ord tosaíochta mar aon le lochtanna feidhme agus lochtanna tástála.

Anailís Statach - SAST

Is é seo an cód anailís le haghaidh leochaileachtaí., ach níl sé mar an gcéanna le SonarQube. Déanaimid seiceáil ní hamháin le haghaidh patrúin nó stíl. Úsáideann an anailís roinnt cur chuige: de réir crann leochaileachta, de réir sreabhadh sonraí, trí anailís a dhéanamh ar chomhaid chumraíochta. Sin uile don chód féin.

Buntáistí an chur chuige: leochaileachtaí sa chód a aithint ag céim luath forbarthanuair nach bhfuil aon seastáin agus uirlisí réidh-déanta, agus cumas scanadh incriminteach: scans alt den chód atá athraithe, agus gan ach an ghné atá á dhéanamh againn faoi láthair, a laghdaíonn an t-am scanadh.

CONS ná an easpa tacaíochta do na teangacha riachtanacha.

Comhtháthú riachtanach, ba cheart a bheith sna huirlisí, i mo thuairim suibiachtúil:

• Uirlis chomhtháthaithe: Jenkins, TeamCity agus Gitlab CI.
• Timpeallacht forbartha: Intellij IDEA, Visual Studio. Tá sé níos áisiúla d'fhorbróir gan tóg isteach i gcomhéadan dothuigthe nach mór a mheabhrú go fóill, ach na comhtháthú agus na leochaileachtaí riachtanacha go léir a d'aimsigh sé san ionad oibre ina thimpeallacht forbartha féin a fheiceáil.
• Athbhreithniú cód: SonarQube agus athbhreithniú láimhe.
• Lorgairí lochtanna: Jira agus Bugzilla.

Taispeánann an pictiúr cuid de na hionadaithe is fearr ó anailís statach.

Ní hiad na huirlisí atá tábhachtach, ach an próiseas, agus mar sin tá réitigh Foinse Oscailte ann atá go maith chun an próiseas a rith freisin.

Ní bhfaighidh SAST Open Source líon mór leochaileachtaí nó DataFlow casta, ach is féidir agus ba cheart iad a úsáid agus próiseas á thógáil. Cuidíonn siad le tuiscint a fháil ar an gcaoi a dtógfar an próiseas, cé a fhreagróidh do fhabhtanna, cé a thuairisceoidh, cé a thuairisceoidh. Más mian leat an chéad chéim de shlándáil do chóid a thógáil, bain úsáid as réitigh Foinse Oscailte.

Conas is féidir é seo a chomhtháthú má tá tú ag tús an turais, níl aon rud agat: ní CI, ná Jenkins, ná TeamCity? Smaoinigh ar chomhtháthú próisis.

Comhtháthú ag leibhéal CVS

Má tá Bitbucket nó GitLab agat, is féidir leat comhtháthú a dhéanamh ar an leibhéal Córas Leagan Comhthráthach.

De réir imeachta tarraingt iarraidh, tiomantas. Déanann tú an cód a scanadh agus léiríonn tú sa stádas tógála gur éirigh nó gur theip ar an tseiceáil slándála.

Aiseolas. Ar ndóigh, tá gá le haiseolas i gcónaí. Más rud é go ndearna tú é ar thaobh na slándála, cuir i mbosca é agus níor inis tú rud ar bith do dhuine ar bith faoi, agus ansin rinne tú braon de fhabhtanna a dhumpáil ag deireadh na míosa, níl sé seo ceart agus níl sé go maith.

Comhtháthú le córas athbhreithnithe cóid

Uair amháin, socróimid úsáideoir teicniúil AppSec mar an t-athbhreithneoir réamhshocraithe i roinnt tionscadal tábhachtach. Ag brath ar cibé an bhfuarthas earráidí sa chód nua nó nach bhfuil aon earráidí, cuireann an t-athbhreithneoir an stádas ar an iarratas tarraingt "glacadh" nó "obair de dhíth" - bíodh gach rud ceart go leor, nó ní mór duit a thabhairt chun críche agus naisc chuig cad go díreach a thabhairt chun críche. Chun comhtháthú leis an leagan atá á scaoileadh, tá cumasc díchumasaithe againn mura n-éiríonn leis an tástáil IS. Chuireamar é seo san áireamh san athbhreithniú ar an gcód láimhe, agus chonaic an chuid eile de rannpháirtithe an phróisis na stádas slándála don phróiseas áirithe seo.

Comhtháthú le SonarQube

Tá go leor acu geata cáilíochta i dtéarmaí cáilíochta cód. Tá sé mar an gcéanna anseo - ní féidir leat na geataí céanna a dhéanamh ach amháin le haghaidh ionstraimí SAST. Beidh an comhéadan céanna, an geata cáilíochta céanna, ní bheidh ach é a dtugtar geata slándála. Agus freisin, má tá próiseas curtha ar bun agat ag baint úsáide as SonarQube, is féidir leat gach rud a chomhtháthú go héasca ann.

Comhtháthú ag an leibhéal CI

Anseo, freisin, tá gach rud simplí go leor:

• Ar aon dul le uaththástálacha, tástálacha aonaid.
• Roinnt de réir céimeanna forbartha: dev, tástáil, táirge. Féadfar tacair éagsúla rialacha a áireamh, nó coinníollacha teipe éagsúla: stopaimid an tionól, ní stopaimid an tionól.
• Rith Sioncrónach/Aisioncrónach. Táimid ag fanacht le deireadh na dtrialacha slándála nó nílimid ag fanacht. Is é sin, sheolamar díreach iad agus bogadh ar aghaidh, agus ansin faigheann muid stádas go bhfuil gach rud maith nó olc.

Tá sé ar fad i ndomhan bándearg foirfe. Sa saol fíor, ní hé seo an cás, ach déanaimid ár ndícheall. Ba cheart go mbeadh toradh na seiceálacha slándála cosúil le torthaí tástálacha aonaid.

Mar shampla, ghlacamar le tionscadal mór agus chinn muid anois é a scanadh le SAST - OK. Chuireamar an tionscadal seo isteach i SAST, thug sé 20 leochaileacht dúinn, agus rinneamar cinneadh láidir go bhfuil gach rud ceart go leor. Is ionann 000 leochaileacht agus ár bhfiachas teicniúil. Cuirfimid an fiach i mbosca, rake suas go mall é agus tús a chur le fabhtanna i lorgairía lochtanna. Fruiliú cuideachta, déan gach rud sinn féin, nó bíodh Seaimpíní Slándála ag cabhrú linn, agus laghdóidh fiachas teicniúil.

Agus ba cheart deireadh a chur le gach leochaileacht atá le feiceáil sa chód nua ar an mbealach céanna le hearráidí in aonad nó in uaththástálacha. Go réasúnta, thosaigh an tionól, thiomáin sé ar shiúl, thit dhá thástáil agus dhá thástáil slándála síos. Ceart go leor - chuaigh muid, d'fhéachamar ar an méid a tharla, cheartaigh ceann amháin, cheartaigh an dara ceann, thiomáin an chéad uair eile - tá gach rud go breá, níl aon leochaileachtaí nua le feiceáil, níor theip ar na tástálacha. Má tá an tasc seo níos doimhne agus go gcaithfidh tú é a thuiscint go maith, nó má chuireann leochaileachtaí a shocrú isteach ar shraitheanna móra de na rudaí atá suite faoin gcochall: tugtar fabht isteach sa rianaitheoir lochtanna, déantar é a chur in ord tosaíochta agus a shocrú. Ar an drochuair, níl an domhan foirfe agus teipeann ar thástálacha uaireanta.

Sampla de gheata slándála is ea analóg de gheata cáilíochta, i dtéarmaí láithreacht agus líon na leochaileachtaí sa chód.

Comhtháthaimid le SonarQube - tá an breiseán suiteáilte, tá gach rud an-áisiúil agus fionnuar.

Comhtháthú timpeallachta forbartha

Roghanna comhtháthaithe:

• Ag tosú scanadh ón timpeallacht forbartha fiú roimh an tiomantas.
• Féach ar na torthaí.
• Anailís ar thorthaí.
• Sioncrónú leis an bhfreastalaí.

Seo é an chuma atá ar thorthaí a fháil ón bhfreastalaí.

Inár dtimpeallacht forbartha IDEA Intellij níl ann ach mír bhreise a deir go bhfuarthas a leithéid de leochaileachtaí le linn an scanadh. Is féidir leat an cód a chur in eagar láithreach, moltaí a fheiceáil agus sreabhghraf. Tá sé seo go léir suite ag ionad oibre an fhorbróra, atá an-áisiúil - ní gá duit an chuid eile de na naisc a leanúint agus féachaint ar rud éigin breise.

Foinse Oscailte

Is é seo an t-ábhar is fearr liom. Úsáideann gach duine leabharlanna Foinse Oscailte - cén fáth a scríobh bunch crutches agus rothair nuair is féidir leat leabharlann réidh a ghlacadh ina bhfuil gach rud i bhfeidhm cheana féin?

Ar ndóigh, tá sé seo fíor, ach tá leabharlanna scríofa ag daoine freisin, áirítear rioscaí áirithe freisin, agus tá leochaileachtaí ann freisin a thuairiscítear go tréimhsiúil, nó go leanúnach. Mar sin, tá an chéad chéim eile i Slándáil Feidhmchláir - is é seo an anailís ar chomhpháirteanna Foinse Oscailte.

Anailís Foinse Oscailte - OSA

Cuimsíonn an uirlis trí chéim mhóra.

Leochaileachtaí a aimsiú i leabharlanna. Mar shampla, tá a fhios ag an uirlis go bhfuil muid ag baint úsáide as leabharlann de chineál éigin, agus go bhfuil i CVE nó i lorgairí fabhtanna tá roinnt leochaileachtaí a bhaineann leis an leagan seo den leabharlann. Má dhéanann tú iarracht é a úsáid, tabharfaidh an uirlis foláireamh duit go bhfuil an leabharlann leochaileach, agus comhairleoidh sé duit leagan eile a úsáid nuair nach bhfuil aon leochaileachtaí ann.

Anailís ar íonacht cheadúnais. Níl an-tóir air seo linn go fóill, ach má oibríonn tú le tír iasachta, ansin is féidir leat ionsaí a fháil ó am go chéile as comhpháirt foinse oscailte a úsáid nach féidir a úsáid nó a mhodhnú. De réir pholasaí na leabharlainne ceadúnaithe, ní féidir linn é seo a dhéanamh. Nó, má táimid tar éis é a mhodhnú agus é a úsáid, ní mór dúinn ár gcód a phostáil. Ar ndóigh, níl aon duine ag iarraidh cód a gcuid táirgí a phostáil, ach is féidir leat tú féin a chosaint ó seo freisin.

Anailís ar chomhpháirteanna a úsáidtear i dtimpeallacht thionsclaíoch. Samhlaigh staid hipitéiseach go bhfuil forbairt críochnaithe againn ar deireadh agus go bhfuil an scaoileadh is déanaí dár microservice don tionscal curtha ar fáil againn. Tá sé ina chónaí ann go hiontach - seachtain, mí, bliain. Ní bhailímid é, ní dhéanaimid seiceálacha slándála, is cosúil go bhfuil gach rud go breá. Ach go tobann, dhá sheachtain tar éis an scaoileadh, tagann leochaileacht ríthábhachtach sa chomhpháirt Foinse Oscailte amach, a úsáidimid sa chomhthionól áirithe seo, sa timpeallacht thionsclaíoch. Mura ndéanaimid taifead ar cad é agus cén áit a n-úsáidimid, ní bheidh an leochaileacht seo le feiceáil. Tá an cumas ag roinnt uirlisí monatóireacht a dhéanamh ar leochaileachtaí i leabharlanna a úsáidtear faoi láthair i prom. Tá sé an-úsáideach.

Gnéithe:

• Polasaithe éagsúla le haghaidh céimeanna éagsúla forbartha.
• Monatóireacht a dhéanamh ar chomhpháirteanna i dtimpeallacht thionsclaíoch.
• Rialú leabharlanna i imlíne na heagraíochta.
• Tacaíocht do chórais agus do theangacha éagsúla tógála.
• Anailís ar íomhánna Docker.

Cúpla sampla de cheannairí sa réimse atá ag gabháil don anailís ar Foinse Oscailte.

Is é an ceann amháin saor in aisce, Seiceáil Spleáchais ó OWASP. Is féidir leat é a chasadh air ag na chéad chéimeanna, féachaint conas a oibríonn sé agus cad a thacaíonn sé. Go bunúsach, is táirgí néil iad seo go léir, nó ar an áitreabh, ach taobh thiar dá mbonn téann siad chuig an Idirlíon fós. Ní sheolann siad do leabharlanna, ach hashes nó a luachanna a ríomhann siad, agus méarloirg chuig a bhfreastalaí chun nuacht a fháil faoi láithreacht leochaileachtaí.

Comhtháthú Próisis

Rialú imlíne leabharlainnea íoslódáiltear ó fhoinsí seachtracha. Tá stórtha seachtracha agus inmheánacha againn. Mar shampla, tá Nexus againn taobh istigh de Event Central, agus ba mhaith linn a chinntiú nach bhfuil aon leochaileachtaí ann le stádas "criticiúil" nó "ard" taobh istigh dár stór. Is féidir leat seachfhreastalaí a chur ar bun ag baint úsáide as an uirlis Nexus Firewall Lifecycle ionas go ndéanfar leochaileachtaí den sórt sin a ghearradh amach agus nach bhfuil san áireamh sa stór inmheánach.

Comhtháthú CI. Ar an leibhéal céanna le autotests, tástálacha aonaid agus roinnt i gcéimeanna forbartha: dev, test, prod. Ag gach céim, is féidir leat aon leabharlanna a íoslódáil, rud ar bith a úsáid, ach má tá rud éigin crua leis an stádas “criticiúil”, is dócha gur chóir duit aird na bhforbróirí a tharraingt air seo agus tú ag dul isteach sa prom.

Comhtháthú Déantán: Nexus agus JFrog.

Comhtháthú sa timpeallacht forbartha. Ba cheart go mbeadh comhtháthú le timpeallachtaí forbartha ag na huirlisí a roghnaíonn tú. Caithfidh rochtain a bheith ag an bhforbróir ar thorthaí an scanadh óna ionad oibre, nó a bheith in ann an cód a scanadh agus a sheiceáil le haghaidh leochaileachtaí sula ndéanann sé nó sí é i CVS.

Comhtháthú CD. Is gné fionnuar é seo a thaitníonn go mór liom agus ar labhair mé faoi cheana féin - monatóireacht a dhéanamh ar theacht chun cinn leochaileachtaí nua i dtimpeallacht thionsclaíoch. Oibríonn sé mar seo.

Tá againn Taisclanna Comhpháirteanna Poiblí - roinnt uirlisí lasmuigh, agus ár stór inmheánach. Ní theastaíonn uainn ach comhpháirteanna iontaofa a bheith ann. Agus iarratas á sheachvótáil, déanaimid seiceáil nach bhfuil aon leochaileachtaí ag an leabharlann íoslódála. Má thagann sé faoi bheartais áirithe a leagaimid síos agus a dhéanaimid comhordú leis an bhforbairt de dhíth, ní uaslódáltar é agus faighimid rebuff chun leagan eile a úsáid. Dá réir sin, má tá rud éigin fíor-chriticiúil agus olc sa leabharlann, ansin ní bhfaighidh an forbróir an leabharlann fiú ag an gcéim suiteála - lig dó leagan níos airde nó níos ísle a úsáid.

• Agus muid ag tógáil, déanaimid seiceáil nár shleamhnaigh aon duine aon rud dona, go bhfuil na comhpháirteanna go léir sábháilte agus níor thug aon duine aon rud contúirteach ar an tiomáint flash.
• Níl ach comhpháirteanna iontaofa againn sa stór.
• Agus é á imscaradh, déanaimid seiceáil arís ar an bpacáiste féin: cogadh, próca, íomhá DL nó Docker le haghaidh go gcomhlíonann sé an polasaí.
• Agus muid ag dul isteach sa timpeallacht thionsclaíoch, déanaimid monatóireacht ar an méid atá ag tarlú sa timpeallacht thionsclaíoch: tá leochaileachtaí ríthábhachtacha le feiceáil nó nach bhfuil siad le feiceáil.

Anailís Dinimiciúla - DAST

Tá uirlisí anailíse dinimiciúla difriúil go bunúsach ó gach rud a dúradh roimhe seo. Is cineál aithrise é seo ar obair an úsáideora leis an bhfeidhmchlár. Más feidhmchlár gréasáin é seo, cuirimid iarratais a dhéanann aithris ar obair an chliaint, cliceáil ar na cnaipí ar an tosaigh, seol sonraí saorga ón bhfoirm: Sleachta, lúibíní, carachtair in ionchóduithe éagsúla chun breathnú ar an gcaoi a n-oibríonn an t-iarratas agus na próisis sheachtracha. sonraí.

Ligeann an córas céanna duit seiceáil le haghaidh leochaileachtaí teimpléid in Open Source. Toisc nach bhfuil a fhios ag DAST cén Foinse Oscailte atá á úsáid againn, ní dhéanann sé ach patrúin “mhailíseacha” a chaitheamh agus anailís a dhéanamh ar fhreagraí an fhreastalaí:

- Sea, tá fadhb díserialú anseo, ach ní anseo.

Tá rioscaí móra ag baint leis seo, mar má dhéanann tú an tástáil slándála seo ar an seastán céanna a n-oibríonn na tástálaithe leis, féadann rudaí míthaitneamhacha tarlú.

• Ualach ard ar líonra an fhreastalaí feidhmchláir.
• Gan aon chomhtháthú.
• An cumas socruithe an fheidhmchláir anailísithe a athrú.
• Níl aon tacaíocht ann do na teicneolaíochtaí is gá.
• Deacracht le socrú.

Bhí cás againn nuair a sheolamar AppScan ar deireadh: chuireamar deireadh le rochtain ar an iarratas ar feadh i bhfad, fuair muid 3 chuntas agus bhí áthas orainn - ar deireadh, déanfaimid gach rud a sheiceáil! Sheolamar scanadh, agus ba é an chéad rud a rinne AppScan ná dul isteach sa phainéal riaracháin, na cnaipí go léir a bhrú, leath de na sonraí a athrú, agus ansin an freastalaí a mharú go hiomlán lena chuid féin foirm poist-iarratais. Dúirt Forbairt le Tástáil:

“A bhuachaillí, an bhfuil tú ag magadh orm?! Thugamar cuntais duit, agus chuir tú an seastán!

Smaoinigh ar rioscaí féideartha. Go hidéalach, ullmhaigh seastán ar leith chun slándáil faisnéise a thástáil, a bheidh scoite amach ón gcuid eile den chomhshaol ar bhealach éigin ar a laghad, agus seiceáil go coinníollach ar an bpainéal riaracháin, i mód láimhe de rogha. Is pentest é seo - na céatadáin iarrachtaí atá fágtha nach bhfuilimid ag smaoineamh orthu anois.

Is fiú smaoineamh gur féidir leat é seo a úsáid mar analóg de thástáil ualaigh. Ag an gcéad chéim, is féidir leat an scanóir dinimiciúil a chur ar siúl i 10-15 snáithe agus féach cad a tharlaíonn, ach de ghnáth, mar a léiríonn cleachtas, níl aon rud maith.

Cúpla acmhainn a úsáideann muid de ghnáth.

Is fiú aird a tharraingt Suite Burp is é "scian na hEilvéise" é d'aon ghairmí slándála. Úsáideann gach duine é agus tá sé an-áisiúil. Tá leagan taispeána nua den eagrán fiontair eisithe anois. Más rud é níos luaithe ní raibh ann ach fóntais neamhspleách le forlíontáin, anois tá freastalaí mór á dhéanamh ag forbróirí as a mbeifear in ann roinnt gníomhairí a bhainistiú. Tá sé fionnuar, molaim duit triail a bhaint as.

Comhtháthú Próisis

Tá an comhtháthú maith go leor agus simplí: tús a scanadh tar éis suiteáil rathúil iarratais ar an seastán agus scanadh tar éis tástáil chomhtháthaithe rathúil.

Mura n-oibríonn na comhtháthú nó má tá stubs agus feidhmeanna bréige ann, tá sé gan bhrí agus gan úsáid - is cuma cén patrún a sheolfaimid, freagróidh an freastalaí fós ar an mbealach céanna.

• Go hidéalach, binse tástála ar leith.
• Roimh an tástáil, scríobh síos an t-ord logáil isteach.
• Ní dhéantar tástáil ar an gcóras riaracháin ach de láimh.

Процесс

Beagán ginearálaithe faoin bpróiseas go ginearálta agus faoi obair gach uirlis, go háirithe. Tá gach feidhmchlár difriúil - oibríonn ceann amháin níos fearr le hanailís dhinimiciúil, ceann eile le hanailís statach, an tríú ceann le hanailís OpenSource, pentests, nó rud éigin eile i gcoitinne, mar shampla, imeachtaí le Waf.

Ní mór gach próiseas a rialú.

Chun tuiscint a fháil ar conas a oibríonn an próiseas agus cén áit ar féidir é a fheabhsú, ní mór duit méadracht a bhailiú ó gach rud is féidir leat a fháil, lena n-áirítear méadracht táirgthe, méadracht ó uirlisí agus rianaithe lochtanna.

Tá aon eolas cabhrach. Is gá breathnú i gcodanna éagsúla ar an áit is fearr an uirlis seo nó an uirlis sin a úsáid, áit a bhfuil an próiseas ag dul in olcas go sonrach. B’fhéidir gurbh fhiú féachaint ar am freagartha forbartha féachaint cén áit ar féidir an próiseas a fheabhsú bunaithe ar am. Dá mhéad sonraí, is mó ciorruithe is féidir a thógáil ón leibhéal uachtarach go sonraí gach próiseas.

Ós rud é go bhfuil a n-API féin ag gach anailíseoir statach agus dinimiciúil, a gcuid modhanna seolta féin, prionsabail, tá sceidealóirí ag cuid acu, níl a gcuid eile ag daoine eile - táimid ag scríobh uirlis AppSec Orchestrator, a ligeann duit pointe iontrála amháin a dhéanamh ar an bpróiseas iomlán ón táirge agus é a bhainistiú ó phointe amháin.

Tá pointe iontrála amháin ag bainisteoirí, forbróirí agus innealtóirí slándála óna bhféadfaidh siad a fheiceáil cad atá ar siúl, scanadh a chumrú agus a rith, torthaí scanadh a fháil, agus ceanglais a chur isteach. Déanaimid iarracht bogadh ar shiúl ó phíosaí páipéir, gach rud a aistriú isteach i gceann daonna a úsáideann forbairt - leathanaigh ar Confluence le stádas agus méadracht, lochtanna i Jira nó i lorgairí lochtanna éagsúla, nó a neadú isteach i bpróiseas sioncrónach / asincrónach i CI / CD.

Príomh-Bháicíní Beo

Is cuma leis na huirlisí. Smaoinigh ar an bpróiseas ar dtús, ansin cuir na huirlisí i bhfeidhm. Tá na huirlisí go maith, ach costasach, ionas gur féidir leat tosú leis an bpróiseas agus mionchoigeartú a dhéanamh ar an idirghníomhú agus tuiscint idir forbairt agus slándáil. Ó thaobh na slándála de, ní gá "stopadh" a dhéanamh ar gach rud as a chéile. Ó thaobh na forbartha de, má tá rud éigin ard mega super ríthábhachtach, ansin ní mór é seo a dhíchur, agus gan a bheith dúnta don fhadhb. .

Caighdeán an táirge - comhsprioc idir shlándáil agus fhorbairt. Déanaimid rud amháin, déanaimid iarracht a chinntiú go n-oibríonn gach rud i gceart agus nach bhfuil aon rioscaí clú agus caillteanais airgeadais ann. Sin an fáth a gcuirimid an cur chuige i leith DevSecOps, SecDevOps chun cinn chun cumarsáid a bhunú agus an táirge a fheabhsú.

Tosaigh leis an méid atá ann cheana féin: riachtanais, ailtireacht, seiceálacha páirteacha, oiliúna, treoirlínte. Ní gá gach cleachtas a chur i bhfeidhm láithreach ar gach tionscadal - bogadh go atriallach. Níl aon chaighdeán amháin ann turgnamh agus bain triail as cineálacha cur chuige agus réitigh éagsúla.

Comhartha comhionann idir lochtanna IS agus lochtanna feidhmiúla.

Uathoibriú gach rudatá ag gluaiseacht. Rud ar bith nach ngluaiseann, bogann agus nach n-oibreoidh sé. Má dhéantar rud éigin de láimh, ní cuid mhaith den phróiseas é seo. B’fhéidir gur fiú athmhachnamh a dhéanamh air agus é a uathoibriú freisin.

Má tá foireann IB beag - úsáid a bhaint as Seaimpíní Slándála.

B'fhéidir nach n-oirfidh an rud a labhair mé leat agus go dtiocfaidh tú suas le rud éigin de do chuid féin - agus is maith sin. Ach roghnaigh uirlisí bunaithe ar riachtanais do phróisis. Ná breathnaigh ar a ndeir an pobal go bhfuil an uirlis seo go dona agus go bhfuil an uirlis seo go maith. B'fhéidir go mbeidh sé an bealach eile timpeall ar do tháirge.

Riachtanais uirlisí.

• Íseal Bréagach Dearfach.
• Am anailíse leordhóthanach.
• Áisiúlacht na húsáide.
• Infhaighteacht comhtháthaithe.
• An treochlár forbartha táirge a thuiscint.
• Cumas uirlisí a shaincheapadh.

Roghnaíodh tuarascáil Yuriy mar cheann de na cinn is fearr ag DevOpsConf 2018. Chun eolas a fháil ar smaointe níos suimiúla agus cásanna praiticiúla, tar chuig Skolkovo an 27 agus 28 Bealtaine DevOpsConf laistigh féile RIT++. Níos fearr fós, má tá tú sásta do thaithí a roinnt, ansin iarratas a dhéanamh Cuir isteach do thuairisc faoin 21 Aibreán.

Foinse: will.com