Bailes un riebums no DevSecOps

Mums bija 2 kodu analizatori, 4 dinamiskās testēšanas rīki, mūsu pašu amatniecība un 250 skripti. Nav tā, ka tas viss ir vajadzīgs pašreizējā procesā, taču, tiklīdz sākat ieviest DevSecOps, jums ir jāiet līdz beigām.

Avots. Varoņu veidotāji: Džastins Roilends un Dens Harmons.

Kas ir SecDevOps? Kā ar DevSecOps? Kādas ir atšķirības? Lietojumprogrammu drošība — par ko tā ir? Kāpēc klasiskā pieeja vairs nedarbojas? Zina atbildes uz visiem šiem jautājumiem Jurijs Šabaļins no Zobenzivs drošība. Jurijs atbildēs uz visu detalizēti un analizēs pārejas problēmas no klasiskā Application Security modeļa uz DevSecOps procesu: kā pareizi pieiet drošas izstrādes procesa integrācijai DevOps procesā un neko nesalauzt, kā iziet cauri galvenajiem posmiem. drošības pārbaudes, kādus rīkus var izmantot un ar ko tie atšķiras un kā tos pareizi konfigurēt, lai izvairītos no kļūmēm.

Par runātāju: Jurijs Šabaļins - Uzņēmuma galvenais apsardzes arhitekts Zobenzivs drošība. Atbildīgs par SSDL ieviešanu, par lietojumprogrammu analīzes rīku vispārēju integrāciju vienotā izstrādes un testēšanas ekosistēmā. 7 gadu pieredze informācijas drošības jomā. Strādājis Alfa-Bank, Sberbank un Positive Technologies, kas izstrādā programmatūru un sniedz pakalpojumus. Runātājs starptautiskajās konferencēs ZerONights, PHDays, RISSPA, OWASP.

Lietojumprogrammu drošība: par ko tā ir?

Lietojumprogrammu drošība - Šī ir drošības sadaļa, kas ir atbildīga par lietojumprogrammu drošību. Tas neattiecas uz infrastruktūru vai tīkla drošību, bet gan uz to, ko mēs rakstām un pie kā strādā izstrādātāji – tie ir pašas lietojumprogrammas trūkumi un ievainojamības.

Virziens SDL vai SDLC Sākot no Drošības izstrādes dzīves cikls - izstrādājis Microsoft. Diagrammā parādīts kanoniskais SDLC modelis, kura galvenais uzdevums ir drošības līdzdalība katrā izstrādes posmā no prasībām līdz izlaišanai un ražošanai. Microsoft saprata, ka nozarē ir pārāk daudz kļūdu, to ir vairāk un ar to kaut kas ir jādara, un viņi ierosināja šo pieeju, kas ir kļuvusi par kanonisku.

Lietojumprogrammu drošības un SSDL mērķis nav atklāt ievainojamības, kā parasti tiek uzskatīts, bet gan novērst to rašanos. Laika gaitā Microsoft kanoniskā pieeja ir uzlabota, attīstīta un ieviesta dziļākā, detalizētākā niršanā.

Kanoniskais SDLC ir ļoti detalizēts dažādās metodoloģijās - OpenSAMM, BSIMM, OWASP. Metodoloģijas ir dažādas, bet kopumā līdzīgas.

Ēkas drošības modelis brieduma periodā

Man tas visvairāk patīk BSIMM Sākot no Ēkas drošības modelis brieduma periodā. Metodoloģijas pamatā ir Lietojumprogrammu drošības procesa sadalīšana 4 jomās: pārvaldība, izlūkošana, SSDL saskares punkti un izvietošana. Katrā domēnā ir 12 prakses, kas ir attēlotas kā 112 aktivitātes.

Katrai no 112 aktivitātēm ir 3 brieduma līmeņi: iesācējs, vidējs un progresīvs. Jūs varat izpētīt visas 12 prakses sadaļas pēc sadaļas, atlasīt sev svarīgas lietas, izdomāt, kā tās ieviest un pakāpeniski pievienot elementus, piemēram, statisko un dinamisko koda analīzi vai koda pārskatīšanu. Jūs pierakstāt plānu un mierīgi strādājat saskaņā ar to kā daļu no izvēlēto aktivitāšu īstenošanas.

Kāpēc DevSecOps

DevOps ir vispārējs, liels process, kurā ir jāņem vērā drošība.

Sākotnēji DevOps iesaistītas drošības pārbaudes. Praksē apsardzes komandu skaits bija daudz mazāks nekā šobrīd, un tās darbojās nevis kā procesa dalībnieki, bet gan kā kontroles un uzraudzības institūcija, kas tai uzliek prasības un izlaiduma beigās pārbauda produkta kvalitāti. Šī ir klasiska pieeja, kurā drošības komandas stāvēja aiz sienas no izstrādes un nepiedalījās procesā.

Galvenā problēma ir tā, ka informācijas drošība ir nošķirta no attīstības. Parasti šī ir sava veida informācijas drošības shēma, un tajā ir 2-3 lieli un dārgi rīki. Reizi sešos mēnešos pienāk pirmkods vai lietojumprogramma, kas ir jāpārbauda, ​​un reizi gadā tie tiek ražoti pentesti. Tas viss noved pie tā, ka nozares izlaišanas datums tiek aizkavēts, un izstrādātājs ir pakļauts milzīgam skaitam automatizētu rīku ievainojamību. To visu izjaukt un salabot nav iespējams, jo iepriekšējā pusgada rezultāti nebija sakārtoti, bet te ir jauna partija.

Mūsu uzņēmuma darba gaitā mēs redzam, ka drošība visās jomās un nozarēs saprot, ka ir laiks panākt un griezties ar attīstību uz viena riteņa veikls. DevSecOps paradigma lieliski atbilst veiklajai izstrādes metodoloģijai, ieviešanai, atbalstam un dalībai katrā laidienā un iterācijā.

Pāreja uz DevSecOps

Vissvarīgākais vārds drošības attīstības dzīves ciklā ir "process". Tas ir jāsaprot, pirms domājat par rīku iegādi.

Nepietiek tikai ar rīku iekļaušanu DevOps procesā — svarīga ir komunikācija un sapratne starp procesa dalībniekiem.

Cilvēki ir svarīgāki, nevis instrumenti.

Bieži vien droša izstrādes procesa plānošana sākas ar rīka izvēli un iegādi un beidzas ar mēģinājumiem integrēt rīku pašreizējā procesā, kas paliek mēģinājumi. Tas noved pie neveiksmīgām sekām, jo ​​visiem instrumentiem ir savas īpašības un ierobežojumi.

Izplatīts gadījums ir, kad drošības nodaļa izvēlējās labu, dārgu rīku ar plašām iespējām un nāca pie izstrādātājiem, lai to integrētu procesā. Bet tas neizdodas - process ir strukturēts tā, ka jau iegādātā rīka ierobežojumi neietilpst pašreizējā paradigmā.

Vispirms aprakstiet, kādu rezultātu vēlaties un kā process izskatīsies. Tas palīdzēs izprast instrumenta un drošības lomu procesā.

Sāciet ar to, kas jau tiek izmantots

Pirms dārgu instrumentu iegādes apskatiet, kas jums jau ir. Katram uzņēmumam ir izstrādātas drošības prasības attīstībai, ir čeki, pentesti - kāpēc gan to visu nepārveidot ikvienam saprotamā un ērtā formā?

Parasti prasības ir papīra Talmuds, kas atrodas plauktā. Bija gadījums, kad atnācām uz kādu uzņēmumu apskatīt procesus un lūdzām apskatīt programmatūras drošības prasības. Speciālists, kurš ar to nodarbojās, ilgu laiku meklēja:

- Tagad kaut kur piezīmēs bija ceļš, kur atrodas šis dokuments.

Rezultātā dokumentu saņēmām nedēļu vēlāk.

Prasībām, čekiem un citām lietām izveido lapu piem. Saplūšana - tas ir ērti ikvienam.

Ir vieglāk pārformatēt to, kas jums jau ir, un izmantot to, lai sāktu.

Izmantojiet drošības čempionus

Parasti vidējā uzņēmumā ar 100-200 izstrādātājiem ir viens drošības speciālists, kurš veic vairākas funkcijas un fiziski nav laika visu pārbaudīt. Pat ja viņš cenšas visu iespējamo, viņš viens pats nepārbaudīs visu izstrādes radīto kodu. Šādiem gadījumiem ir izstrādāta koncepcija - Drošības čempioni.

Drošības čempioni ir izstrādātāju komandas cilvēki, kurus interesē jūsu produkta drošība.

Drošības čempions ir ieejas punkts izstrādes komandā un drošības evaņģēlists.

Parasti, kad drošības speciālists ierodas izstrādes komandā un norāda uz kļūdu kodā, viņš saņem pārsteigtu atbildi:

- Un kas esi tu? Es tevi redzu pirmo reizi. Ar mani viss ir kārtībā - vecākais draugs man iedeva “pieteikties” koda pārskatīšanā, mēs virzāmies tālāk!

Tā ir tipiska situācija, jo daudz vairāk uzticas senioriem vai vienkārši komandas biedriem, ar kuriem izstrādātājs nemitīgi sazinās darbā un koda pārskatīšanā. Ja apsardzes virsnieka vietā uz kļūdu un sekām norādīs Drošības čempions, tad viņa vārdam būs lielāks svars.

Turklāt izstrādātāji zina savu kodu labāk nekā jebkurš drošības speciālists. Personai, kurai statiskās analīzes rīkā ir vismaz 5 projekti, parasti ir grūti atcerēties visas nianses. Drošības čempioni zina savu produktu: kas ar ko mijiedarbojas un uz ko vispirms jāskatās – tie ir efektīvāki.

Tāpēc apsveriet iespēju ieviest drošības čempionus un paplašināt savas drošības komandas ietekmi. Tas noder arī pašam čempionam: profesionālā izaugsme jaunā jomā, tehniskā redzesloka paplašināšana, tehnisko, vadības un līdera iemaņu celšana, tirgus vērtības palielināšana. Tas ir sociālās inženierijas elements, jūsu “acis” izstrādes komandā.

Pārbaudes posmi

Paradigma no 20 līdz 80 saka, ka 20% pūļu dod 80% rezultātu. Šie 20% ir lietojumprogrammu analīzes prakse, ko var un vajadzētu automatizēt. Šādu darbību piemēri ir statiskā analīze - SAST, dinamiskā analīze - DAST и Atvērtā pirmkoda vadība. Sīkāk pastāstīšu par aktivitātēm, kā arī par rīkiem, ar kādām funkcijām parasti sastopamies, tos ieviešot procesā, un kā to pareizi darīt.

Galvenās instrumentu problēmas

Es izcelšu problēmas, kas attiecas uz visiem instrumentiem un kurām jāpievērš uzmanība. Es tos analizēšu sīkāk, lai turpmāk neatkārtotos.

Ilgs analīzes laiks. Ja no apņemšanās līdz izlaišanai visas pārbaudes un montāža aizņem 30 minūtes, tad informācijas drošības pārbaudes prasīs vienu dienu. Tātad neviens procesu nepalēninās. Ņemiet vērā šo funkciju un izdariet secinājumus.

Augsts līmenis viltus negatīvs vai viltus pozitīvs. Visi produkti ir atšķirīgi, visi izmanto dažādus ietvarus un savu kodēšanas stilu. Dažādās kodu bāzēs un tehnoloģijās rīki var parādīt dažādus viltus negatīvu un viltus pozitīvo vērtību līmeņus. Tātad, paskatieties, kas īsti ir iekšā jūsu uzņēmumiem un par jūsu lietojumprogrammas parādīs labus un uzticamus rezultātus.

Nav integrācijas ar esošajiem rīkiem. Apskatiet rīkus saistībā ar integrāciju ar to, ko jau izmantojat. Piemēram, ja jums ir Jenkins vai TeamCity, pārbaudiet rīku integrāciju ar šo programmatūru, nevis ar GitLab CI, kuru neizmantojat.

Pielāgošanas trūkums vai pārmērīga sarežģītība. Ja rīkam nav API, tad kāpēc tas ir vajadzīgs? Visam, ko var paveikt saskarnē, jābūt pieejamam, izmantojot API. Ideālā gadījumā rīkam vajadzētu būt iespējai pielāgot pārbaudes.

Nav produktu attīstības ceļveža. Attīstība nestāv uz vietas, mēs vienmēr izmantojam jaunus ietvarus un funkcijas, pārrakstot veco kodu jaunās valodās. Mēs vēlamies būt pārliecināti, ka mūsu iegādātais rīks atbalstīs jaunas sistēmas un tehnoloģijas. Tāpēc ir svarīgi zināt, ka precei ir īsta un pareiza Ceļvedis attīstību.

Procesa funkcijas

Papildus rīku iezīmēm ņemiet vērā izstrādes procesa iezīmes. Piemēram, attīstības kavēšana ir izplatīta kļūda. Apskatīsim, kādas vēl funkcijas būtu jāņem vērā un kam jāpievērš uzmanība drošības komandai.

Lai nepalaistu garām izstrādes un izlaišanas termiņus, izveidojiet dažādi noteikumi un dažādi parādīt aizbāžņus — kritēriji izveides procesa apturēšanai ievainojamību gadījumā, dažādām vidēm. Piemēram, mēs saprotam, ka pašreizējā filiāle iet uz izstrādes stendu vai UAT, kas nozīmē, ka mēs neapstājamies un nesakām:

"Tev ir ievainojamības, jūs nekur tālāk netiksit!"

Šajā brīdī ir svarīgi pastāstīt izstrādātājiem, ka ir drošības problēmas, kurām jāpievērš uzmanība.

Ievainojamību klātbūtne nav šķērslis turpmākai pārbaudei: manuāla, integrācija vai manuāla. No otras puses, mums ir kaut kā jāpaaugstina produkta drošība un lai izstrādātāji nepamestu novārtā to, ko viņi uzskata par drošu. Tāpēc dažreiz mēs darām tā: stendā, kad tas tiek izrullēts izstrādes vidē, mēs vienkārši paziņojam izstrādei:

- Puiši, jums ir problēmas, lūdzu, pievērsiet tām uzmanību.

UAT posmā mēs atkal rādām brīdinājumus par ievainojamībām, un izlaišanas stadijā mēs sakām:

- Puiši, mēs jūs vairākas reizes brīdinājām, jūs neko nedarījāt - mēs jūs ar to neizlaidīsim.

Ja mēs runājam par kodu un dinamiku, tad ir jāparāda un jābrīdina par ievainojamībām tikai tām funkcijām un kodam, kas tikko tika ierakstīts šajā funkcijā. Ja izstrādātājs pabīda pogu par 3 pikseļiem un mēs viņam sakām, ka viņam tur ir SQL injekcija un tāpēc tas ir steidzami jālabo, tas ir nepareizi. Paskatieties tikai uz to, kas tagad ir rakstīts, un uz izmaiņām, kas nāk aplikācijā.

Pieņemsim, ka mums ir zināms funkcionāls defekts – tas, kā aplikācijai nevajadzētu darboties: nauda netiek pārskaitīta, nospiežot uz pogas nenotiek pāreja uz nākamo lapu vai arī prece netiek ielādēta. Drošības defekti - tie ir tie paši defekti, bet ne lietojumprogrammas darbības, bet drošības ziņā.

Ne visas programmatūras kvalitātes problēmas ir drošības problēmas. Bet visas drošības problēmas ir saistītas ar programmatūras kvalitāti. Šerifs Mansurs, Expedia.

Tā kā visas ievainojamības ir vieni un tie paši defekti, tām jāatrodas tajā pašā vietā, kur visi attīstības defekti. Tāpēc aizmirstiet par ziņojumiem un biedējošiem PDF failiem, kurus neviens nelasa.

Kad es strādāju izstrādes uzņēmumā, es saņēmu ziņojumu no statiskās analīzes rīkiem. Atvēru, šausminājos, uztaisīju kafiju, pārlapoju 350 lappuses, aizvēru un turpināju strādāt. Lielie ziņojumi ir miruši ziņojumi. Parasti viņi nekur nenonāk, vēstules tiek izdzēstas, aizmirstas, pazaudētas vai uzņēmums saka, ka uzņemas risku.

Ko darīt? Mēs vienkārši pārveidojam apstiprinātos defektus, ko atradām, izstrādei ērtā formā, piemēram, ievietojam tos Jira atlikumā. Mēs piešķiram prioritāti defektiem un novēršam tos prioritārā secībā, kā arī funkcionālos defektus un pārbaudes defektus.

Statiskā analīze — SAST

Šī ir ievainojamību koda analīze., taču tas nav tas pats, kas SonarQube. Mēs ne tikai pārbaudām modeļus vai stilu. Analīzē tiek izmantotas vairākas pieejas: saskaņā ar ievainojamības koku, saskaņā ar Datu plūsma, analizējot konfigurācijas failus. Tas ir viss, kas attiecas uz pašu kodu.

Pieejas plusi: koda ievainojamību identificēšana agrīnā izstrādes stadijākad vēl nav stendu vai gatavu instrumentu, un pakāpeniska skenēšanas iespēja: tiek skenēta koda sadaļa, kas ir mainīta, un tikai tā funkcija, ko mēs pašlaik darām, kas samazina skenēšanas laiku.

Mīnusi - tas ir atbalsta trūkums nepieciešamajām valodām.

Nepieciešamās integrācijas, kam, manuprāt, vajadzētu būt rīkos:

• Integrācijas rīks: Jenkins, TeamCity un Gitlab CI.
• Izstrādes vide: Intellij IDEA, Visual Studio. Izstrādātājam ērtāk ir nevis orientēties pa nesaprotamu interfeisu, kas vēl jāiegaumē, bet gan redzēt visas nepieciešamās integrācijas un ievainojamības, ko viņš ir atradis tieši darba vietā savā izstrādes vidē.
• Koda pārskatīšana: SonarQube un manuāla pārskatīšana.
• Defektu izsekotāji: Jira un Bugzilla.

Attēlā redzami daži no labākajiem statiskās analīzes pārstāvjiem.

Svarīgi ir nevis rīki, bet process, tāpēc ir atvērtā koda risinājumi, kas ir labi arī procesa pārbaudei.

SAST Open Source neatradīs milzīgu skaitu ievainojamību vai sarežģītu DataFlow, taču tos var un vajadzētu izmantot, veidojot procesu. Tie palīdz saprast, kā process tiks veidots, kurš reaģēs uz kļūdām, kurš ziņos un kurš ziņos. Ja vēlaties veikt koda drošības izveides sākotnējo posmu, izmantojiet atvērtā pirmkoda risinājumus.

Kā to var integrēt, ja atrodaties sava ceļojuma sākumā un jums nav nekā: ne CI, ne Dženkinsa, ne TeamCity? Apsvērsim integrāciju procesā.

CVS līmeņa integrācija

Ja jums ir Bitbucket vai GitLab, varat integrēties līmenī Vienlaicīgu versiju sistēma.

Pēc notikuma - izvilkt pieprasījumu, apņemties. Jūs skenējat kodu, un būvējuma statuss parāda, vai drošības pārbaude ir izturēta vai neizdevusies.

Atsauksmes Protams, atgriezeniskā saite vienmēr ir nepieciešama. Ja jūs tikko veicāt apsardzi sānos, ievietojāt to kastē un nevienam neko par to nestāstījāt, un pēc tam mēneša beigās izmetāt virkni kļūdu - tas nav pareizi un nav labi.

Integrācija ar kodu pārskatīšanas sistēmu

Kādreiz mēs darbojāmies kā tehniskā AppSec lietotāja noklusējuma pārskatītājs vairākos svarīgos projektos. Atkarībā no tā, vai jaunajā kodā ir konstatētas kļūdas vai kļūdu nav, recenzents iestata izvilkšanas pieprasījuma statusu uz “pieņemt” vai “nepieciešams darbs” - vai nu viss ir kārtībā, vai arī saites uz to, kas tieši ir jāuzlabo. ir jāuzlabo. Integrācijai ar versiju, kas tiek nodota ražošanā, esam iespējojuši apvienošanas aizliegumu, ja informācijas drošības pārbaude netiek izturēta. Mēs to iekļāvām manuālajā koda pārskatā, un citi procesa dalībnieki redzēja šī konkrētā procesa drošības statusus.

Integrācija ar SonarQube

Daudziem ir kvalitatīvi vārti koda kvalitātes ziņā. Šeit ir tas pats — jūs varat izveidot tādus pašus vārtus tikai SAST rīkiem. Būs tas pats interfeiss, tie paši kvalitātes vārti, tikai tie tiks izsaukti drošības vārti. Un arī, ja jums ir process, izmantojot SonarQube, varat tur viegli integrēt visu.

Integrācija CI līmenī

Šeit viss ir arī diezgan vienkāršs:

• Līdzvērtīgi autotestiem, vienību testi.
• Sadalījums pa attīstības posmiem: izstrādātājs, tests, prod. Var tikt iekļauti dažādi noteikumu kopumi vai dažādi kļūmes apstākļi: apturiet montāžu, neapturiet montāžu.
• Sinhronā/asinhronā palaišana. Mēs gaidām drošības testu beigas vai nē. Tas ir, mēs tos vienkārši palaidām un virzāmies tālāk, un tad mēs iegūstam statusu, ka viss ir labi vai slikti.

Tas viss ir ideālā rozā pasaulē. Reālajā dzīvē tāda nav, bet mēs cenšamies. Drošības pārbaužu rezultātiem jābūt līdzīgiem vienības pārbaužu rezultātiem.

Piemēram, mēs paņēmām lielu projektu un nolēmām, ka tagad skenēsim to ar SAST - OK. Mēs iespiedām šo projektu SAST, tas mums iedeva 20 000 ievainojamību un ar stingru lēmumu nolēmām, ka viss ir kārtībā. 20 000 ievainojamību ir mūsu tehniskais parāds. Mēs ieliksim parādu kastē, lēnām to notīrīsim un pievienosim kļūdas defektu izsekotājiem. Noalgosim firmu, darīsim visu paši vai lai mums palīdz drošības čempioni – un tehniskie parādi samazināsies.

Un visas jaunās ievainojamības jaunajā kodā ir jānovērš tāpat kā kļūdas vienībā vai automātiskajos testos. Relatīvi runājot, montāža sākās, mēs to paskrējām, divi testi un divi drošības testi neizdevās. OK - gājām, paskatījāmies, kas noticis, salabojām vienu lietu, salabojām citu, palaistām nākamreiz - viss bija kārtībā, nekādas jaunas ievainojamības neparādījās, neviens tests neizdevās. Ja šis uzdevums ir dziļāks un jums tas ir labi jāsaprot vai ievainojamību novēršana ietekmē lielus zem pārsega esošās lietas slāņus: defektu izsekotājam tika pievienota kļūda, tā tiek noteikta par prioritāti un izlabota. Diemžēl pasaule nav ideāla, un testi dažreiz neizdodas.

Drošības vārtu piemērs ir kvalitātes vārtu analogs, ņemot vērā koda ievainojamību esamību un skaitu.

Mēs integrējamies ar SonarQube - spraudnis ir instalēts, viss ir ļoti ērti un forši.

Integrācija ar attīstības vidi

Integrācijas iespējas:

• Pirms apstiprināšanas tiek veikta skenēšana no izstrādes vides.
• Skatīt rezultātus.
• Rezultātu analīze.
• Sinhronizācija ar serveri.

Šādi izskatās rezultātu saņemšana no servera.

Mūsu attīstības vidē Intellij IDEJA vienkārši parādās papildu vienums, kas informē, ka skenēšanas laikā tika atklātas šādas ievainojamības. Jūs varat nekavējoties rediģēt kodu, apskatīt ieteikumus un Plūsmas diagramma. Tas viss atrodas izstrādātāja darba vietā, kas ir ļoti ērti - nav jāseko citām saitēm un jāskatās kaut kas papildu.

Atvērtā koda

Šī ir mana mīļākā tēma. Visi izmanto atvērtā koda bibliotēkas - kāpēc rakstīt kruķu un velosipēdu baru, ja var paņemt gatavu bibliotēku, kurā viss jau ir ieviests?

Protams, tā ir taisnība, taču arī bibliotēkās raksta cilvēki, tajās ir arī noteikti riski un ir arī ievainojamības, par kurām periodiski vai pastāvīgi tiek ziņots. Tāpēc ir nākamais solis lietojumprogrammu drošībā - tā ir atvērtā pirmkoda komponentu analīze.

Atvērtā pirmkoda analīze — OSA

Rīks ietver trīs lielus posmus.

Ievainojamību meklēšana bibliotēkās. Piemēram, rīks zina, ka mēs izmantojam kādu bibliotēku, un tas atrodas CVE vai ir dažas kļūdu izsekotāju ievainojamības, kas saistītas ar šo bibliotēkas versiju. Mēģinot to izmantot, rīks parādīs brīdinājumu, ka bibliotēka ir ievainojama, un iesaka izmantot citu versiju, kurai nav ievainojamību.

Licences tīrības analīze. Pie mums tas vēl nav īpaši populārs, bet, ja strādā ārzemēs, tad tur ik pa laikam var dabūt nodokli par kāda atvērtā koda komponenta izmantošanu, kuru nevar izmantot vai modificēt. Saskaņā ar licencētās bibliotēkas politiku mēs to nevaram darīt. Vai arī, ja mēs to modificējām un izmantojam, mums vajadzētu publicēt savu kodu. Protams, neviens nevēlas publicēt savu produktu kodu, taču jūs varat arī pasargāt sevi no tā.

Rūpnieciskā vidē izmantoto komponentu analīze. Iedomāsimies hipotētisku situāciju, ka beidzot esam pabeiguši izstrādi un izlaiduši mūsu mikropakalpojuma jaunāko versiju. Viņš tur brīnišķīgi dzīvo – nedēļu, mēnesi, gadu. Mēs to nevācam, neveicam drošības pārbaudes, šķiet, ka viss ir kārtībā. Taču pēkšņi, divas nedēļas pēc izlaišanas, atvērtā pirmkoda komponentā, ko mēs izmantojam šajā konkrētajā būvniecībā, industriālajā vidē parādās kritiska ievainojamība. Ja mēs nereģistrēsim, ko un kur lietojam, mēs vienkārši neredzēsim šo ievainojamību. Dažiem rīkiem ir iespēja pārraudzīt ievainojamības bibliotēkās, kuras pašlaik tiek izmantotas šajā nozarē. Tas ir ļoti noderīgi.

Funkcijas:

• Dažādas politikas dažādiem attīstības posmiem.
• Komponentu uzraudzība rūpnieciskā vidē.
• Bibliotēku kontrole organizācijā.
• Atbalsts dažādām veidošanas sistēmām un valodām.
• Docker attēlu analīze.

Daži nozares līderu piemēri, kuri nodarbojas ar atvērtā pirmkoda analīzi.

Vienīgais bezmaksas ir šis Atkarības pārbaude no OWASP. Varat to ieslēgt pirmajos posmos, redzēt, kā tas darbojas un ko tas atbalsta. Būtībā tie visi ir mākoņa produkti vai uz vietas, taču aiz to bāzes tie joprojām tiek nosūtīti uz internetu. Viņi uz savu serveri sūta nevis jūsu bibliotēkas, bet gan jaucējvērtības vai savas vērtības, kuras viņi aprēķina, un pirkstu nospiedumus, lai saņemtu informāciju par ievainojamību esamību.

Procesu integrācija

Bibliotēku perimetra kontrole, kas tiek lejupielādēti no ārējiem avotiem. Mums ir ārējās un iekšējās krātuves. Piemēram, Event Central darbojas Nexus, un mēs vēlamies nodrošināt, lai mūsu repozitorijā nebūtu ievainojamību ar statusu “kritisks” vai “augsts”. Varat konfigurēt starpniekserveri, izmantojot Nexus Firewall Lifecycle rīku, lai šādas ievainojamības tiktu novērstas un nenonāktu iekšējā repozitorijā.

Integrācija CI. Vienā līmenī ar autotestiem, vienību testiem un sadalīšanu izstrādes posmos: dev, test, prod. Katrā posmā varat lejupielādēt jebkuru bibliotēku, izmantot jebko, taču, ja ir kaut kas grūts ar “kritisko” statusu, iespējams, ir vērts pievērst izstrādātāju uzmanību tam jau ražošanas stadijā.

Integrācija ar artefaktiem: Nexus un JFrog.

Integrācija attīstības vidē. Izvēlētajiem rīkiem jābūt integrētiem ar izstrādes vidēm. Izstrādātājam ir jābūt piekļuvei skenēšanas rezultātiem no savas darba vietas vai iespējai pašam skenēt un pārbaudīt kodu, vai tajā nav ievainojamību, pirms viņš pievienojas CVS.

CD integrācija. Šī ir forša funkcija, kas man ļoti patīk un par kuru jau runāju – jaunu ievainojamību rašanās uzraudzība industriālā vidē. Tas darbojas apmēram šādi.

Mums ir Publiskie komponentu krātuves — daži rīki ārpusē un mūsu iekšējais repozitorijs. Mēs vēlamies, lai tajā būtu tikai uzticami komponenti. Pieprasot starpniekserveri, mēs pārbaudām, vai lejupielādētajā bibliotēkā nav ievainojamību. Ja uz to attiecas noteiktas politikas, kuras mēs iestatām un obligāti saskaņojam ar izstrādi, mēs to neaugšupielādējam un mums tiek piedāvāts izmantot citu versiju. Attiecīgi, ja bibliotēkā ir kaut kas patiešām kritisks un slikts, tad izstrādātājs nesaņems bibliotēku instalēšanas stadijā - lai viņš izmanto augstāku vai zemāku versiju.

• Būvējot pārbaudām, vai nevienam nav nekas slikts paslīdējis, vai visas sastāvdaļas ir drošas un zibatmiņā neviens nav ienesis neko bīstamu.
• Mums repozitorijā ir tikai uzticami komponenti.
• Izvietojot, mēs vēlreiz pārbaudām pašu pakotni: war, jar, DL vai Docker attēlu, lai pārliecinātos, ka tā atbilst politikai.
• Ieejot nozarē, mēs sekojam līdzi, kas notiek industriālajā vidē: parādās vai neparādās kritiskās ievainojamības.

Dinamiskā analīze — DAST

Dinamiskās analīzes rīki būtiski atšķiras no visa iepriekš minētā. Šī ir sava veida imitācija lietotāja darbam ar lietojumprogrammu. Ja šī ir tīmekļa lietojumprogramma, mēs nosūtām pieprasījumus, imitējot klienta darbu, noklikšķiniet uz priekšpusē esošajām pogām, no veidlapas nosūtām mākslīgos datus: pēdiņas, iekavas, rakstzīmes dažādos kodējumos, lai redzētu, kā programma darbojas un apstrādā. ārējie dati.

Tā pati sistēma ļauj pārbaudīt atvērtā pirmkoda veidņu ievainojamības. Tā kā DAST nezina, kuru atvērto avotu mēs izmantojam, tas vienkārši izmet "ļaunprātīgus" modeļus un analizē servera atbildes:

- Jā, šeit ir deserializācijas problēma, bet ne šeit.

Šeit ir lieli riski, jo, veicot šo drošības pārbaudi uz tā paša stenda, ar kuru strādā testētāji, var notikt nepatīkamas lietas.

• Liela slodze lietojumprogrammu serveru tīklā.
• Nav integrāciju.
• Iespēja mainīt analizētās lietojumprogrammas iestatījumus.
• Nav atbalsta nepieciešamajām tehnoloģijām.
• Grūtības ar iestatīšanu.

Mums bija situācija, kad beidzot palaižām AppScan: mēs ilgu laiku mēģinājām piekļūt lietojumprogrammai, ieguvām 3 kontus un bijām laimīgi - beidzot visu pārbaudīsim! Mēs sākām skenēšanu, un pirmā lieta, ko AppScan izdarīja, bija ieiet administratora panelī, caurdurt visas pogas, nomainīt pusi datu un pēc tam pilnībā iznīcināt serveri ar pasta veidlapa- lūgumi. Izstrāde ar testēšanu teica:

- Puiši, jūs jokojat?! Mēs sniedzām jums kontus, un jūs izveidojāt stendu!

Apsveriet iespējamos riskus. Ideālā gadījumā sagatavojiet atsevišķu stendu informācijas drošības testēšanai, kas vismaz kaut kā tiks izolēts no pārējās vides un nosacīti pārbaudiet admin paneli, vēlams manuālā režīmā. Šis ir pentests — tie atlikušie piepūles procenti, kurus mēs šobrīd neņemam vērā.

Ir vērts uzskatīt, ka varat to izmantot kā slodzes pārbaudes analogu. Pirmajā posmā jūs varat ieslēgt dinamisku skeneri ar 10-15 pavedieniem un redzēt, kas notiek, bet parasti, kā liecina prakse, nekas labs.

Daži resursi, ko mēs parasti izmantojam.

Izcelšanas vērts Burp Suite ir “Šveices nazis” jebkuram drošības speciālistam. Visi to izmanto, un tas ir ļoti ērti. Tagad ir izlaista jauna uzņēmuma izdevuma demonstrācijas versija. Ja agrāk tā bija tikai atsevišķa utilīta ar spraudņiem, tad tagad izstrādātāji beidzot izgatavo lielu serveri, no kura būs iespējams pārvaldīt vairākus aģentus. Tas ir forši, iesaku izmēģināt.

Procesu integrācija

Integrācija notiek diezgan labi un vienkārši: pēc veiksmīgas instalēšanas sāciet skenēšanu pieteikumi stendam un skenēšana pēc veiksmīgas integrācijas pārbaudes.

Ja integrācijas nedarbojas vai ir nepilnības un izspēles funkcijas, tas ir bezjēdzīgi un bezjēdzīgi — neatkarīgi no tā, kādu modeli mēs nosūtām, serveris joprojām atbildēs tāpat.

• Ideālā gadījumā atsevišķs testēšanas stends.
• Pirms pārbaudes pierakstiet pieteikšanās secību.
• Administrēšanas sistēmas testēšana ir tikai manuāla.

process

Nedaudz vispārināts par procesu kopumā un par katra instrumenta darbību konkrēti. Visas lietojumprogrammas ir atšķirīgas - viena labāk darbojas ar dinamisko analīzi, cita ar statisko analīzi, trešā ar OpenSource analīzi, pentestiem vai kaut kas cits, piemēram, notikumi ar Waf.

Katram procesam ir nepieciešama kontrole.

Lai saprastu, kā process darbojas un kur to var uzlabot, jums ir jāapkopo metrika no visa, kas jums ir pieejams, tostarp ražošanas metrika, metrika no rīkiem un defektu izsekotājiem.

Jebkura informācija ir noderīga. Ir jāskatās no dažādiem leņķiem, kur tas vai cits instruments ir labāk lietojams, kur process specifiski nokrīt. Iespējams, ir vērts aplūkot izstrādes reakcijas laikus, lai noskaidrotu, kur uzlabot procesu, pamatojoties uz laiku. Jo vairāk datu, jo vairāk sadaļu var izveidot no augstākā līmeņa līdz katra procesa detaļām.

Tā kā visiem statiskajiem un dinamiskajiem analizatoriem ir savi API, savas palaišanas metodes, principi, dažiem ir plānotāji, citiem nav - mēs rakstām rīku AppSec Orchestrator, kas ļauj no produkta izveidot vienotu ieejas punktu visā procesā un pārvaldīt to no viena punkta.

Vadītājiem, izstrādātājiem un drošības inženieriem ir viens ieejas punkts, no kura viņi var redzēt, kas darbojas, konfigurēt un palaist skenēšanu, saņemt skenēšanas rezultātus un iesniegt prasības. Mēs cenšamies attālināties no dokumentu kārtošanas, visu pārvērst cilvēciskā, ko izmanto izstrāde - lapas par Confluence ar statusu un metriku, Jira vai dažādu defektu izsekotāju defektiem vai integrāciju sinhronā/asinhronā procesā CI. /CD.

Atslēgas

Instrumenti nav galvenais. Vispirms pārdomājiet procesu - pēc tam ieviesiet rīkus. Rīki ir labi, bet dārgi, tāpēc varat sākt ar procesu un veidot saziņu un izpratni starp attīstību un drošību. No drošības viedokļa nevajag visu “apturēt”.No attīstības viedokļa, ja ir kaut kas augsts mega superkritisks, tad tas ir jālikvidē, nevis jāver acis uz problēmu.

Produkta kvalitāte - kopīgs mērķis gan drošībai, gan attīstībai. Mēs darām vienu lietu, cenšamies nodrošināt, lai viss darbotos pareizi un nerastos reputācijas riski vai finansiāli zaudējumi. Tāpēc mēs reklamējam DevSecOps, SecDevOps pieeju, lai uzlabotu saziņu un uzlabotu produkta kvalitāti.

Sāciet ar to, kas jums jau ir: prasības, arhitektūra, daļējas pārbaudes, apmācības, vadlīnijas. Nav nepieciešams nekavējoties piemērot visas prakses visiem projektiem - pārvietoties iteratīvi. Nav vienota standarta - eksperiments un izmēģiniet dažādas pieejas un risinājumus.

Starp informācijas drošības defektiem un funkcionāliem defektiem ir vienādības zīme.

Automatizējiet visukas kustas. Viss, kas nepārvietojas, pārvietojiet to un automatizējiet. Ja kaut kas tiek darīts ar rokām, tas nav laba procesa daļa. Varbūt ir vērts to pārskatīt un arī automatizēt.

Ja IS komandas lielums ir mazs - izmantojiet drošības čempionus.

Varbūt tas, par ko es runāju, jums nederēs, un jūs izdomāsit kaut ko savu - un tas ir labi. Bet izvēlieties rīkus, pamatojoties uz jūsu procesa prasībām. Neskatieties, ko saka sabiedrība, ka šis rīks ir slikts un šis ir labs. Iespējams, jūsu produktam būs pretējais.

Prasības instrumentiem.

• Zems līmenis Viltus pozitīvs.
• Pienācīgs analīzes laiks.
• Lietošanas vienkāršība.
• Integrāciju pieejamība.
• Izpratne par produktu attīstības ceļvedi.
• Iespēja pielāgot rīkus.

Jurija ziņojums tika izvēlēts kā viens no labākajiem DevOpsConf 2018. Lai iepazītos ar vēl interesantākām idejām un praktiskiem gadījumiem, nāc uz Skolkovo 27. un 28. maijā. DevOpsConf ietvaros festivāls RIT++. Vēl labāk, ja esat gatavs dalīties savā pieredzē, tad pieteikties atskaitei līdz 21.aprīlim.

Avots: www.habr.com