Nanana mpanadihady kaody 2 izahay, fitaovana fitiliana mavitrika 4, asa tananay manokana ary soratra 250. Tsy hoe ilaina amin'ny dingana ankehitriny izany rehetra izany, fa rehefa manomboka mampihatra ny DevSecOps ianao dia tsy maintsy mandeha hatramin'ny farany.
. Mpamorona toetra: Justin Roiland sy Dan Harmon.
Inona no atao hoe SecDevOps? Ahoana ny amin'ny DevSecOps? Inona avy ireo fahasamihafana? Application Security - inona izany? Nahoana no tsy mandeha intsony ny fomba fanao mahazatra? Mahalala ny valin’ireo fanontaniana rehetra ireo Yuri Shabalin avy amin'ny Swordfish Security. Yuri dia hamaly ny zava-drehetra amin'ny antsipiriany ary hamakafaka ny olan'ny fifindrana avy amin'ny maodely Application Security mahazatra mankany amin'ny fizotran'ny DevSecOps: ny fomba hanatonana tsara ny fampidirana ny dingana fampandrosoana azo antoka amin'ny dingana DevOps ary tsy manapaka na inona na inona, ny fomba handehanana amin'ny dingana lehibe. momba ny fitsapana fiarovana, inona ny fitaovana azo ampiasaina, ary inona no maha-samihafa azy ary ahoana no amboarina tsara mba hisorohana ny fandrika.
Momba ny mpandahateny: Yuri Shabalin - Chief Security Architect ao amin'ny orinasa Swordfish Security. Tompon'andraikitra amin'ny fampiharana ny SSDL, amin'ny fampidirana ankapoben'ny fitaovana famakafakana fampiharana amin'ny tontolo iainana fampandrosoana sy fitiliana. 7 taona traikefa amin'ny fiarovana ny vaovao. Niasa tao amin'ny Alfa-Bank, Sberbank ary Positive Technologies, izay mamolavola rindrambaiko sy manome serivisy. Mpandahateny amin'ny fihaonambe iraisam-pirenena ZerONights, PHDays, RISSPA, OWASP.
Application Security: inona izany?
Application Security - Ity no sehatra fiarovana izay miandraikitra ny fiarovana ny fampiharana. Tsy mihatra amin'ny fotodrafitrasa na fiarovana amin'ny tambajotra izany, fa amin'ny zavatra soratanay sy izay iasan'ny mpamorona - ireo no lesoka sy vulnerability amin'ny fampiharana.
tari-dalana - Fizaran-piainana fampandrosoana fiarovana - novolavolain'i Microsoft. Ny kisary dia mampiseho ny modelin'ny SDLC kanônika, ny asa lehibe indrindra dia ny fandraisan'anjaran'ny fiarovana amin'ny dingana rehetra amin'ny fampandrosoana, manomboka amin'ny fepetra ka hatramin'ny famoahana sy ny famokarana. Nahatsapa i Microsoft fa be loatra ny bibikely ao amin'ny indostria, betsaka kokoa izy ireo ary misy zavatra tsy maintsy atao momba izany, ary nanolotra izany fomba izany izy ireo, izay lasa kanônika.
Ny fiarovana ny fampiharana sy ny SSDL dia tsy mikendry ny hamantatra ny fahalemena, araka ny inoana mahazatra, fa amin'ny fisorohana ny fisehoany. Rehefa nandeha ny fotoana, dia nohatsaraina, novolavolaina, ary nampidirina tao anatin'ny fitsirihana lalindalina kokoa sy amin'ny antsipiriany kokoa ny fomba fiasa kanonika an'i Microsoft.
Ny SDLC kanônika dia feno antsipiriany amin'ny fomba isan-karazany - OpenSAMM, BSIMM, OWASP. Ny metodolojia dia samy hafa, fa amin'ny ankapobeny dia mitovy.
Manorina fiarovana amin'ny maodely fahamatorana
tiako indrindra BSIMM - . Ny fototry ny fomba fiasa dia ny fizarana ny fizotran'ny fiarovana amin'ny fampiharana ho sehatra 4: Governance, Intelligence, SSDL Touchpoints ary Deployment. Ny sehatra tsirairay dia manana fanao 12, izay aseho ho hetsika 112.
Ny tsirairay amin'ireo hetsika 112 dia manana 3 ambaratonga ny fahamatorana: vao manomboka, manelanelana ary mandroso. Azonao atao ny mandalina ny fizarana fanao 12 rehetra isaky ny fizarana, mifantina zavatra manan-danja aminao, fantaro ny fomba fampiharana azy ireo ary ampio tsikelikely ny singa, ohatra, ny famakafakana kaody static sy dynamic na famerenana code. Manorata drafitra iray ianao ary miasa amim-pahatoniana mifanaraka amin'izany ao anatin'ny fanatanterahana ireo hetsika voafantina.
Nahoana no DevSecOps
DevOps dia dingana ankapobeny sy lehibe izay tsy maintsy raisina ny fiarovana.
voalohany tafiditra amin'ny fisavana fiarovana. Amin'ny fampiharana, ny isan'ny ekipan'ny fiarovana dia kely kokoa noho ny ankehitriny, ary tsy nandray anjara tamin'ny dingana izy ireo, fa toy ny rafitra fanaraha-maso sy mpanara-maso izay mametraka fepetra momba izany ary manamarina ny kalitaon'ny vokatra amin'ny faran'ny famoahana. Ity dia fomba fanao mahazatra izay nahatonga ny ekipan'ny fiarovana tao ambadiky ny rindrina tamin'ny fampandrosoana ary tsy nandray anjara tamin'ny dingana.
Ny olana lehibe dia ny fiarovana ny fampahalalam-baovao dia misaraka amin'ny fampandrosoana. Matetika izy io dia karazana fiarovana vaovao ary misy fitaovana 2-3 lehibe sy lafo. Indray mandeha isaky ny enim-bolana dia tonga ny kaody loharano na fampiharana tokony hojerena, ary indray mandeha isan-taona no avoaka . Izany rehetra izany dia mitarika ho amin'ny zava-misy fa ny datin'ny famoahana ho an'ny indostria dia nahemotra, ary ny developer dia tratran'ny vulnerability be dia be avy amin'ny fitaovana mandeha ho azy. Tsy azo atao ny manafoana sy manamboatra izany rehetra izany, satria tsy voalamina ny vokatra nandritra ny enim-bolana teo aloha, fa misy andiany vaovao.
Amin'ny fizotran'ny asan'ny orinasanay dia hitantsika fa ny fiarovana amin'ny faritra sy ny indostria rehetra dia mahatakatra fa tonga ny fotoana hanarahana sy hihodinana amin'ny fampandrosoana amin'ny kodiarana iray ihany - amin'ny . Ny paradigma DevSecOps dia mifanentana tsara amin'ny fomba fampivoarana haingana, fampiharana, fanohanana ary fandraisana anjara amin'ny famoahana sy famerenana rehetra.
Tetezana mankany amin'ny DevSecOps
Ny teny manan-danja indrindra amin'ny tsingerin'ny fiainana amin'ny fampandrosoana ny fiarovana dia "process". Tokony ho azonao izany alohan'ny hieritreretanao hividy fitaovana.
Tsy ampy ny fampidirana fitaovana fotsiny amin'ny fizotran'ny DevOps — zava-dehibe ny fifandraisana sy ny fifankahazoana eo amin'ny mpandray anjara.
Ny olona no zava-dehibe kokoa fa tsy fitaovana.
Matetika, ny fanomanana ny dingana fampandrosoana azo antoka dia manomboka amin'ny fisafidianana sy ny fividianana fitaovana iray, ary mifarana amin'ny fanandramana hampiditra ilay fitaovana amin'ny dingana ankehitriny, izay mijanona ho andrana. Miteraka voka-dratsy izany, satria samy manana ny toetrany sy ny fetrany ny fitaovana rehetra.
Ny tranga mahazatra dia rehefa nisafidy fitaovana tsara sy lafo vidy manana fahaiza-manao midadasika ny departemantan'ny fiarovana, ary tonga tany amin'ny mpamorona mba hampiditra izany amin'ny dingana. Saingy tsy mandeha izany - ny dingana dia voalamina amin'ny fomba izay tsy mifanaraka amin'ny paradigma ankehitriny ny fetran'ny fitaovana efa novidina.
Voalohany, lazao hoe inona no vokatra tadiavinao ary ho toy ny ahoana ny fizotrany. Izany dia hanampy amin'ny fahazoana ny andraikitry ny fitaovana sy ny fiarovana amin'ny dingana.
Atombohy amin'izay efa ampiasaina
Alohan'ny hividianana fitaovana lafo vidy, jereo izay efa anananao. Ny orinasa tsirairay dia manana fepetra fiarovana amin'ny fampandrosoana, misy ny fisavana, ny pentest - maninona raha manova izany rehetra izany ho endrika azo takarina sy mety amin'ny rehetra?
Matetika ny fepetra takiana dia taratasy Talmud izay mipetraka eo amin'ny talantalana. Nisy tranga iray rehefa tonga tany amin'ny orinasa iray izahay mba hijery ny fizotrany ary nangataka ny hijery ny fepetra fiarovana amin'ny rindrambaiko. Ny manam-pahaizana manokana momba izany dia nandany fotoana ela nitady:
- Ankehitriny, any amin'ny toerana iray ao amin'ny naoty dia nisy lalana iray misy an'io antontan-taratasy io.
Vokany, herinandro taty aoriana vao azonay ilay taratasy.
Ho an'ny fepetra takiana, fanamarinana ary zavatra hafa, mamorona pejy amin'ny e.g. Confluence - mety ho an'ny rehetra izany.
Mora kokoa ny manova endrika izay efa anananao ary mampiasa izany hanombohana.
Ampiasao ny Security Champions
Amin'ny ankapobeny, ao amin'ny orinasa antonony misy mpamorona 100-200, dia misy manam-pahaizana manokana momba ny fiarovana izay manao asa maromaro ary tsy manam-potoana hijerena ny zava-drehetra. Na dia miezaka mafy aza izy dia tsy hanamarina ny code rehetra ateraky ny fampandrosoana. Ho an'ny toe-javatra toy izany dia nisy hevitra novolavolaina - .
Ny Security Champions dia olona ao anatin'ny ekipa fampandrosoana izay liana amin'ny fiarovana ny vokatrao.
Ny Tompondakan'ny fiarovana dia toerana fidirana ao amin'ny ekipan'ny fampandrosoana ary evanjelistra momba ny fiarovana natambatra ho iray.
Matetika, rehefa tonga any amin'ny ekipan'ny fampandrosoana ny manam-pahaizana manokana momba ny fiarovana ary manondro lesoka ao amin'ny code, dia mahazo valiny mahagaga izy:
- Ary iza ianao? Sambany aho vao nahita anao. Tsara ny zava-drehetra amiko - ny namako zokiny dia nanome ahy "ampiharo" amin'ny famerenana ny code, mandroso isika!
Toe-javatra mahazatra izany, satria misy fitokisana bebe kokoa amin'ny zokiolona na mpiara-miasa amin'ny mpiara-miasa izay ifaneraseran'ny mpamorona tsy tapaka any am-piasana sy amin'ny famerenana code. Raha toa ka ny tompon’andraikitry ny filaminana no manondro ny lesoka sy ny vokany, dia vao mainka hisy lanja ny teniny.
Ary koa, fantatry ny mpamorona ny kaody tsara kokoa noho ny manam-pahaizana manokana momba ny fiarovana. Ho an'ny olona iray manana tetikasa 5 farafahakeliny amin'ny fitaovana famakafakana static, matetika dia sarotra ny mitadidy ireo nuance rehetra. Fantatry ny Tompondakan'ny fiarovana ny vokatra azony: inona no mifandray amin'ny inona sy ny tokony hojerena voalohany - mahomby kokoa izy ireo.
Noho izany dia diniho ny fampiharana ny Security Champions ary manitatra ny fiantraikan'ny ekipan'ny fiarovana anao. Mahasoa ny tompon-daka ihany koa izany: fampandrosoana matihanina amin'ny sehatra vaovao, fanitarana ny faravodilaniny ara-teknika, fanatsarana ny fahaiza-manao ara-teknika, fitantanana ary fitarihana, fampitomboana ny vidin'ny tsena. Ity dia singa sasany amin'ny injeniera sosialy, ny "masonao" ao amin'ny ekipa fampandrosoana.
Dingana fitsapana
milaza fa ny 20% ny ezaka dia mamokatra 80% ny vokatra. Ity 20% ity dia fomba famakafakana fampiharana azo atao ary tokony ho mandeha ho azy. Ohatra amin'ny hetsika toy izany ny famakafakana static - SAST, fanadihadiana dinamika - DAST и Open Source fanaraha-maso. Holazaiko anao amin'ny antsipiriany bebe kokoa momba ny hetsika, ary koa ny momba ny fitaovana, inona ny endri-javatra matetika hitantsika rehefa mampiditra azy ireo amin'ny dingana, ary ny fomba hanaovana izany araka ny tokony ho izy.
Ny olana lehibe amin'ny fitaovana
Hanasongadina ireo olana mifandraika amin'ny fitaovana rehetra aho ary mila fitandremana. Hamakafaka azy ireo amin’ny antsipiriany kokoa aho mba tsy hiverenan’izany intsony.
Fotoana fanadihadiana lava. Raha manomboka amin'ny fanolorana ny famoahana dia maka 30 minitra ho an'ny fitsapana sy fivoriambe rehetra, dia haharitra iray andro ny fisavana ny fiarovana ny vaovao. Ka tsy hisy hampihemotra ny dingana. Raiso an-tsaina io endri-javatra io ary manaova fanatsoahan-kevitra.
False Negative na False Positive avo lenta. Ny vokatra rehetra dia samy hafa, samy mampiasa rafitra samihafa sy ny fomba fanoratra azy manokana. Amin'ny codebases sy ny teknolojia samihafa, ny fitaovana dia mety mampiseho ambaratonga samihafa ny False Negative sy False Positive. Dia jereo ny tena ao anatiny ny anao orinasa ary ho an'ny ny ny fampiharana dia hampiseho vokatra tsara sy azo antoka.
Tsy misy fampidirana amin'ny fitaovana efa misy. Jereo ny fitaovana amin'ny resaka fampidirana amin'izay efa ampiasainao. Ohatra, raha manana Jenkins na TeamCity ianao, jereo ny fampidirana ireo fitaovana amin'ity rindrambaiko ity, fa tsy amin'ny GitLab CI, izay tsy ampiasainao.
Tsy fahampiana na fahasarotana be loatra amin'ny fanamboarana. Raha tsy manana API ny fitaovana iray, nahoana no ilaina izany? Ny zavatra rehetra azo atao amin'ny interface dia tokony ho hita amin'ny alàlan'ny API. Ny tsara indrindra, ny fitaovana dia tokony hanana fahafahana mampifanaraka ny fisavana.
Tsy misy tondrozotra fampandrosoana ny vokatra. Tsy mijanona ny fampandrosoana, mampiasa rafitra sy fiasa vaovao foana izahay, mamerina manoratra kaody taloha amin'ny fiteny vaovao. Tianay ho azo antoka fa hanohana rafitra sy teknolojia vaovao ny fitaovana vidianay. Noho izany dia zava-dehibe ny mahafantatra fa ny vokatra dia manana ny tena sy marina fivoarana.
Ireo endri-tsehatra
Ho fanampin'ny endrik'ireo fitaovana, diniho ny endrik'ilay dingana fampandrosoana. Ohatra, ny fisakanana ny fampandrosoana dia fahadisoana mahazatra. Andeha hojerentsika hoe inona no endri-javatra hafa tokony hodinihina ary inona no tokony hojeren'ny ekipan'ny fiarovana.
Mba tsy hanadino ny fampandrosoana sy ny famoahana fe-potoana, mamorona fitsipika samihafa ary samy hafa mampiseho stoppers - fepetra fampiatoana ny fizotry ny fananganana eo anatrehan'ny vulnerability - ho an'ny tontolo samihafa. Ohatra, takatsika fa ny sampana ankehitriny dia mankany amin'ny toeram-pampandrosoana na UAT, izay midika fa tsy mijanona isika ary miteny hoe:
"Manana vulnerabilité ianao eto, tsy handeha lavitra ianao!"
Amin'izao fotoana izao, zava-dehibe ny milaza amin'ny mpamorona fa misy olana momba ny fiarovana izay mila fiheverana.
Ny fisian'ny vulnerability dia tsy sakana amin'ny fitiliana fanampiny: manual, integration na manual. Amin'ny lafiny iray, mila mampitombo ny fiarovana ny vokatra isika, ary mba tsy hanao tsirambina ny zavatra hitany fa azo antoka ny mpamorona. Noho izany, indraindray dia manao izao izahay: eo amin'ny lampihazo, rehefa alefa any amin'ny tontolo fampandrosoana, dia mampandre fotsiny ny fampandrosoana izahay:
- Ry zalahy, manana olana ianao, mba tandremo tsara.
Amin'ny dingana UAT dia mampiseho fampitandremana momba ny fahalemena indray izahay, ary amin'ny dingana famoahana dia miteny izahay:
- Ry zalahy, nampitandrina anao imbetsaka izahay, tsy nanao na inona na inona ianao - tsy hamela anao hivoaka amin'izany izahay.
Raha miresaka momba ny kaody sy ny dinamika isika, dia ilaina ny mampiseho sy mampitandrina momba ny vulnerabilities amin'ireo endri-javatra sy code izay vao nosoratana tamin'ity endri-javatra ity. Raha misy mpandrindra manetsika bokotra iray amin'ny 3 pixels ary milaza aminy izahay fa manana tsindrona SQL ao izy ary noho izany dia mila amboarina maika dia diso izany. Jereo fotsiny izay voasoratra ankehitriny sy ny fiovana tonga amin'ny fampiharana.
Andeha atao hoe manana lesoka miasa isika - ny fomba tsy tokony hiasa ny fampiharana: tsy afindra ny vola, rehefa manindry bokotra iray ianao dia tsy misy fiovana mankany amin'ny pejy manaraka, na tsy misy entana ny vokatra. Kilema fiarovana - Mitovy ny lesoka, fa tsy amin'ny fampandehanana ny fampiharana, fa amin'ny fiarovana.
Tsy ny olana rehetra momba ny kalitaon'ny rindrambaiko dia olana momba ny fiarovana. Fa ny olana rehetra momba ny fiarovana dia mifandray amin'ny kalitaon'ny rindrambaiko. Sherif Mansour, Expedia.
Koa satria ny vulnerability rehetra dia mitovy ny kilema, dia tokony ho eo amin'ny toerana mitovy amin'ny fampandrosoana rehetra kilema. Ka hadino ny tatitra sy PDF mampatahotra izay tsy misy mamaky.
Fony aho niasa tao amin'ny orinasa fampandrosoana, dia nahazo tatitra avy amin'ny fitaovana famakafakana static. Nosokafako ilay izy, nihorohoro aho, nanao kafe, namelatra pejy 350, nakatona ary nanohy niasa. Ny tatitra lehibe dia tatitra maty. Matetika izy ireo dia tsy mandeha na aiza na aiza, ny taratasy dia voafafa, adino, very, na ny orinasa milaza fa manaiky ny loza.
Ny hatao? Avadikay tsotra izao ireo lesoka voamarina hitanay ho endrika mety amin'ny fampandrosoana, ohatra, apetrakay ao anaty backlog ao Jira. Atao laharam-pahamehana ny lesoka ary esorinay araka ny laharam-pahamehana, miaraka amin'ny lesoka miasa sy ny lesoka andrana.
Famakafakana static - SAST
Ity dia famakafakana kaody ho an'ny vulnerability., fa tsy mitovy amin'ny SonarQube. Tsy mijery lamina na fomba fotsiny izahay. Fomba maro no ampiasaina amin'ny famakafakana: araka ny hazo vulnerability, araka ny , amin'ny alalan'ny famakafakana ireo rakitra fikirakirana. Izany ihany no mahakasika ny kaody.
Ny tombony amin'ny fomba fiasa: famantarana ny vulnerability amin'ny code amin'ny dingana voalohan'ny fampandrosoanarehefa tsy mbola misy fijoroana na fitaovana efa vita, ary fahaiza-manao scanning incremental: fitarafana ampahan-kaody niova, ary ny endri-javatra izay ataontsika amin'izao fotoana izao ihany, izay mampihena ny fotoana fitarafana.
Минусы - izany no tsy fahampian'ny fanohanana ireo fiteny ilaina.
Ilaina ny fampidirana, izay tokony ho ao amin'ny fitaovana, raha ny hevitro manokana:
- Fitaovana fampidirana: Jenkins, TeamCity ary Gitlab CI.
- Tontolo fampandrosoana: Intellij IDEA, Visual Studio. Tsara kokoa ho an'ny mpamorona ny tsy mandeha amin'ny interface tsy takatry ny saina izay mbola mila tsianjery, fa ny mahita ny fampidirana sy ny fahalemena ilaina rehetra izay hitany teo amin'ny toeram-piasana amin'ny tontolo fampandrosoana azy manokana.
- Famerenana ny kaody: SonarQube sy famerenana manual.
- Mpanara-maso kilema: Jira sy Bugzilla.
Ny sary dia mampiseho ny sasany amin'ireo solontenan'ny tsara indrindra amin'ny fanadihadiana static.
Tsy ny fitaovana no zava-dehibe, fa ny dingana, noho izany dia misy vahaolana Open Source izay tsara ihany koa amin'ny fitsapana ny dingana.
Ny SAST Open Source dia tsy hahita vulnerabilities na DataFlows be pitsiny, fa azo ampiasaina ary tokony ampiasaina rehefa manangana dingana. Izy ireo dia manampy amin'ny fahatakarana ny fomba hananganana ny dingana, iza no hamaly ny bibikely, iza no hanao tatitra, ary iza no hanao tatitra. Raha te-hanatontosa ny dingana voalohany amin'ny fananganana ny fiarovana ny kaody ianao dia ampiasao ny vahaolana Open Source.
Ahoana no hampidirana an'io raha eo am-piandohan'ny dianao ianao ary tsy manana na inona na inona: tsy misy CI, tsy misy Jenkins, tsy misy TeamCity? Andeha hodinihintsika ny fampidirana ao anatin'ilay dingana.
Fampidirana ambaratonga CVS
Raha manana Bitbucket na GitLab ianao dia afaka miditra amin'ny ambaratonga .
Amin'ny hetsika - misintona fangatahana, manolo-tena. Andramo ny kaody ary ny satan'ny fananganana dia mampiseho raha nandalo na tsy nahomby ny fanamarinana fiarovana.
Fanamarihana Mazava ho azy fa ilaina foana ny fanehoan-kevitra. Raha nanao fiarovana teo amin'ny sisiny fotsiny ianao, dia apetraho ao anaty boaty ary tsy nilaza na inona na inona momba izany ianao, ary avy eo tamin'ny faran'ny volana dia nanary andiana bibikely - tsy marina izany ary tsy tsara.
Fampidirana amin'ny rafitra famerenana kaody
Indray mandeha izahay dia nanao toy ny mpandinika mahazatra ho an'ny mpampiasa AppSec ara-teknika amin'ny tetikasa manan-danja maromaro. Miankina amin'ny hoe misy lesoka hita ao amin'ny kaody vaovao na tsy misy lesoka, ny mpandinika dia mametraka ny sata eo amin'ny fangatahana fisintonana mba "hanaiky" na "mila asa" - na ny zava-drehetra dia OK, na ny rohy mankany amin'ny tena mila hatsaraina. mila hatsaraina. Ho fampifangaroana amin'ny dikan-teny miditra amin'ny famokarana, dia navelanay ny fandraràna fampivondronana raha tsy lany ny andrana fiarovana ny vaovao. Nampidirinay tao amin'ny famerenana ny code manual izany, ary ny mpandray anjara hafa tamin'ny dingana dia nahita ny sata fiarovana ho an'ity dingana manokana ity.
Fampidirana amin'ny SonarQube
Maro no manana amin'ny kalitaon'ny code. Toy izany koa eto - azonao atao ny manao vavahady mitovy amin'ny fitaovana SAST ihany. Hisy ny interface mitovy, ny vavahady kalitao mitovy, izay ihany no hantsoina vavahady fiarovana. Ary koa, raha manana dingana mampiasa SonarQube ianao dia afaka mampiditra mora foana ny zava-drehetra ao.
Integration amin'ny ambaratonga CI
Tsotra ihany koa ny zava-drehetra eto:
- Mifanaraka amin'ny autotest, fitsapana vondrona.
- Fizarana amin'ny dingana fampandrosoana: dev, fitsapana, prod. Ny fitsipika samihafa na ny fepetra tsy mahomby dia mety ho tafiditra: atsaharo ny fivoriambe, aza ajanona ny fivoriambe.
- Famoahana synchronous/asynchronous. Miandry ny fiafaran’ny andrana fiarovana na tsia. Izany hoe, vao nanokatra azy ireo izahay dia niroso, ary avy eo dia mahazo ny sata hoe tsara na ratsy ny zava-drehetra.
Ao amin'ny tontolo mavokely tonga lafatra daholo izany. Tsy misy izany amin’ny tena fiainana fa miezaka izahay. Ny vokatry ny fanaraha-maso fiarovana dia tokony hitovy amin'ny valin'ny fitsapana vondrona.
Ohatra, naka tetikasa lehibe izahay ary nanapa-kevitra fa hojerentsika amin'ny SAST - OK. Nanosika ity tetikasa ity ho ao amin'ny SAST izahay, nanome anay vulnerability 20 izany ary tamin'ny fanapahan-kevitra hentitra dia nanapa-kevitra izahay fa tsara ny zava-drehetra. Ny vulnerability 000 dia trosa ara-teknika. Mametraka ny trosa ao anaty boaty izahay, manadio azy tsikelikely ary manampy bibikely amin'ny mpanara-maso misy kilema. Andeha isika hanakarama orinasa, hanao ny zava-drehetra, na asaivo manampy antsika ny Security Champions - ary hihena ny trosa ara-teknika.
Ary ny vulnerabilities vao mipoitra rehetra ao amin'ny kaody vaovao dia tsy maintsy esorina amin'ny fomba mitovy amin'ny lesoka ao amin'ny vondrona iray na amin'ny autotest. Raha lazaina amin'ny teny hafa dia nanomboka ny fivoriambe, nataonay izany, fitsapana roa ary fitsapana fiarovana roa tsy nahomby. OK - nandeha izahay, nijery ny zava-nitranga, nanamboatra zavatra iray, nanamboatra iray hafa, nihazakazaka izany tamin'ny manaraka - tsara ny zava-drehetra, tsy nisy vulnerability vaovao niseho, tsy nisy fitsapana tsy nahomby. Raha lalindalina kokoa ity asa ity ary mila mahatakatra azy tsara ianao, na ny famahana ny vulnerabilities dia misy fiantraikany amin'ireo sosona lehibe ao ambanin'ny saron-tava: nisy bibikely nampiana ny mpitsikilo kilema, atao laharam-pahamehana sy ahitsy. Indrisy anefa fa tsy tonga lafatra izao tontolo izao ary tsy mahomby ny fitsapana indraindray.
Ohatra iray amin'ny vavahady fiarovana dia analogue ny vavahady kalitao, amin'ny resaka fisiana sy ny isan'ny vulnerability ao amin'ny code.
Mitambatra amin'ny SonarQube izahay - napetraka ny plugin, tena mety sy mangatsiatsiaka ny zava-drehetra.
Fampidirana amin'ny tontolon'ny fampandrosoana
Safidy fampidirana:
- Mandeha scan avy amin'ny tontolo fampandrosoana alohan'ny hanaovana.
- Jereo ny valiny.
- Famakafakana ny vokatra.
- Synchronization amin'ny mpizara.
Toy izao ny endriky ny fandraisana vokatra avy amin'ny mpizara.
Ao amin'ny tontolo fampandrosoana misy singa fanampiny mipoitra fotsiny izay mampahafantatra anao fa hita nandritra ny fizahana ireo vulnerability toy izany. Azonao atao ny manova avy hatrany ny kaody, mijery ny tolo-kevitra ary . Izany rehetra izany dia hita ao amin'ny toeram-piasan'ny mpamorona, izay tena mety - tsy ilaina ny manaraka rohy hafa ary mijery zavatra fanampiny.
Open Source
Ity no lohahevitra tiako indrindra. Mampiasa tranomboky Open Source ny tsirairay - maninona no manoratra tehina sy bisikileta maromaro nefa afaka maka tranomboky efa vita izay efa nampiharina ny zava-drehetra?
Mazava ho azy fa marina izany, fa ny trano famakiam-boky ihany koa dia nosoratan'ny olona, dia misy ihany koa ny risika sasany ary misy ihany koa ny vulnerability izay taterina tsindraindray, na tsy tapaka. Noho izany, misy ny dingana manaraka amin'ny Application Security - izany no famakafakana ireo singa Open Source.
Open Source Analysis - OSA
Ny fitaovana dia ahitana dingana telo lehibe.
Mikaroka ireo vulnerabilities amin'ny tranomboky. Ohatra, fantatry ny fitaovana fa mampiasa tranomboky sasany izahay, ary ao na misy vulnerabilité sasany amin'ireo mpitsikilo bibikely mifandraika amin'ity dikan-tranon'ny tranomboky ity. Rehefa manandrana mampiasa azy io ianao dia hamoaka fampitandremana ny fitaovana fa marefo ny tranomboky ary manoro anao ny hampiasa dikan-teny hafa tsy misy vulnerability.
Famakafakana ny fahadiovan'ny lisansa. Tsy dia malaza loatra eto izany, fa raha miasa any ivelany ianao, dia afaka mahazo hetra indraindray ianao amin'ny fampiasana singa open source izay tsy azo ampiasaina na ovaina. Araka ny politikan'ny tranomboky nahazo alalana dia tsy afaka manao izany izahay. Na, raha ovainay sy ampiasainay izany, dia tokony handefa ny kaodinay izahay. Mazava ho azy fa tsy misy olona te hamoaka ny kaody momba ny vokatra, fa azonao atao koa ny miaro tena amin'izany.
Famakafakana ireo singa ampiasaina amin'ny tontolo indostrialy. Alao sary an-tsaina ny toe-javatra eritreretina fa nahavita ny fivoarana izahay ary namoaka ny famoahana farany ny microservice. Mipetraka tsara izy ao - herinandro, iray volana, herintaona. Tsy manangona izany izahay, tsy manao fisavana fiarovana, toa milamina ny zava-drehetra. Saingy tampoka, tapa-bolana taorian'ny famotsorana, dia misy vulnerability misongadina ao amin'ny singa Open Source, izay ampiasainay amin'ity fananganana manokana ity, ao amin'ny tontolo indostrialy. Raha tsy mirakitra an-tsoratra hoe inona sy aiza no ampiasantsika, dia tsy ho hitantsika tsotra izao izany fahalemena izany. Ny fitaovana sasany dia manana fahafahana manara-maso ny fahalemena ao amin'ny tranomboky izay ampiasaina amin'izao fotoana izao amin'ny indostria. Tena ilaina izany.
endri-javatra:
- Politika samihafa ho an'ny dingana samihafa amin'ny fampandrosoana.
- Fanaraha-maso ireo singa ao amin'ny tontolo indostrialy.
- Fanaraha-maso ny tranomboky ao anatin'ny fikambanana.
- Fanohanana ho an'ny rafitra fananganana sy fiteny samihafa.
- Famakafakana ny sary Docker.
Ohatra vitsivitsy amin'ireo mpitarika indostria izay mirotsaka amin'ny fanadihadiana Open Source.
Ny hany maimaim-poana dia ity avy amin'ny OWASP. Azonao atao ny mamelona azy amin'ny dingana voalohany, jereo ny fomba fiasany ary inona no tohanany. Amin'ny ankapobeny, vokatra rahona daholo ireo, na eo an-toerana, fa ao ambadiky ny fotony dia mbola alefa amin'ny Internet izy ireo. Tsy ny trano famakiam-bokinao no alefany, fa ny hash na ny soatoaviny manokana, izay kajy, ary ny dian-tanana amin'ny mpizara azy mba handraisana vaovao momba ny fisian'ny vulnerability.
Fampidirana ny dingana
Fanaraha-maso manodidina ny tranomboky, izay alaina avy amin'ny loharano ivelany. Manana tahiry ivelany sy anatiny izahay. Ohatra, ny Event Central dia mitantana ny Nexus, ary tianay ho azo antoka fa tsy misy vulnerability ao anatin'ny tahiry misy ny sata "manakiana" na "avo". Azonao atao ny manitsy ny proxy amin'ny alàlan'ny fitaovana Nexus Firewall Lifecycle mba ho tapaka ny vulnerability toy izany ary tsy hiafara amin'ny tahiry anatiny.
Hiverina any amin'ny CI. Eo amin'ny ambaratonga mitovy amin'ny autotest, fitsapana vondrona ary fizarana amin'ny dingana fampandrosoana: dev, test, prod. Amin'ny dingana tsirairay dia azonao atao ny misintona tranomboky rehetra, mampiasa na inona na inona, fa raha misy zavatra sarotra amin'ny sata "manakiana", angamba mendrika ny hisarihana ny sain'ny mpamorona amin'ny dingan'ny famoahana azy amin'ny famokarana.
Fifandraisana amin'ny artifacts: Nexus sy JFrog.
Fampidirana amin'ny tontolon'ny fampandrosoana. Ny fitaovana nofidinao dia tokony hifanaraka amin'ny tontolo fampandrosoana. Ny mpamorona dia tsy maintsy manana fahafahana miditra amin'ny valin'ny scan avy amin'ny toeram-piasany, na ny fahafahana mijery sy manamarina ny kaody ho an'ny vulnerability alohan'ny hidirana amin'ny CVS.
fampidirana CD. Ity dia endri-javatra mahafinaritra izay tena tiako ary efa noresahiko - ny fanaraha-maso ny firongatry ny vulnerability vaovao amin'ny tontolo indostrialy. Miasa toy izao izy io.
Manana isika Public Component Repositories - fitaovana sasany any ivelany, ary ny fitahirizanay anatiny. Tianay ny tsy ahitana afa-tsy singa azo itokisana. Rehefa manao proxy fangatahana dia manamarina izahay fa tsy misy vulnerability ny tranomboky alaina. Raha toa ka tafiditra ao anatin'ny politika sasantsasany izay apetrakay ary tsy maintsy ampifandraisina amin'ny fampandrosoana, dia tsy mampakatra azy izahay ary asaina mampiasa dikan-teny hafa. Noho izany, raha misy zavatra tena manakiana sy ratsy ao amin'ny trano famakiam-boky, dia tsy hahazo ny tranomboky ny developer amin'ny dingana fametrahana - avelao izy hampiasa dikan-teny ambony na ambany.
- Rehefa manorina isika dia manamarina fa tsy nisy nandona na inona na inona ratsy, fa ny singa rehetra dia azo antoka ary tsy nisy nitondra zava-doza tao amin'ny flash drive.
- Ny singa azo itokisana ihany no ananantsika ao amin'ny tahiry.
- Rehefa mametraka dia manamarina indray ny fonosana: ady, jar, DL na Docker sary mba hahazoana antoka fa mifanaraka amin'ny politika izany.
- Rehefa miditra amin'ny indostria isika dia manara-maso ny zava-mitranga ao amin'ny tontolo indostrialy: mipoitra na tsy miseho ny vulnerabilities manan-danja.
Fanadihadiana mavitrika - DAST
Ny fitaovana famakafakana dinamika dia tsy mitovy amin'ny zavatra rehetra voalaza teo aloha. Ity dia karazana fakana tahaka ny asan'ny mpampiasa miaraka amin'ny fampiharana. Raha fampiharana amin'ny tranonkala ity dia mandefa fangatahana izahay, manahaka ny asan'ny mpanjifa, tsindrio ny bokotra eo anoloana, alefaso ny angon-drakitra artifisialy avy amin'ny endrika: teny nalaina, brackets, litera amin'ny encodings samihafa, hahitana ny fomba fiasan'ny fampiharana sy ny fizotrany. angona ivelany.
Io rafitra io ihany no ahafahanao manamarina ny fahalemen'ny môdely ao amin'ny Open Source. Satria tsy fantatr'i DAST hoe iza no Open Source ampiasainay, dia manipy lamina "manimba" fotsiny izy ary manadihady ny valintenin'ny mpizara:
- Eny, misy olana deserialization eto, fa tsy eto.
Misy risika lehibe amin'izany, satria raha manao ity fitsapana fiarovana ity ianao amin'ny dabilio izay iasan'ny mpanandrana dia mety hitranga ny zavatra tsy mahafinaritra.
- Enta-mavesatra be amin'ny tamba-jotra mpizara fampiharana.
- Tsy misy fampidirana.
- Fahaizana manova ny firafitry ny fampiharana nodinihina.
- Tsy misy fanohanana ny teknolojia ilaina.
- Sarotra ny fametrahana.
Nanana toe-javatra izahay tamin'ny nanombohanay ny AppScan tamin'ny farany: nandany fotoana ela izahay mba hidirana amin'ny fampiharana, nahazo kaonty 3 ary faly - hojerenay ny zava-drehetra! Nandefa scan izahay, ary ny zavatra voalohany nataon'ny AppScan dia niditra tao amin'ny tontolon'ny admin, manindrona ny bokotra rehetra, manova ny antsasaky ny data, ary mamono tanteraka ny mpizara miaraka amin'ny azy. -fangatahana. Fampandrosoana miaraka amin'ny fitsapana hoy:
- Ry zalahy, mananihany ahy ve ianao?! Nomenay kaonty ianao, ary nanangana fijoroana ianao!
Diniho ny mety ho loza mety hitranga. Ny tsara indrindra dia manomana fijoroana mitokana ho an'ny fitiliana ny fiarovana ny vaovao, izay hitokana amin'ny tontolo hafa farafaharatsiny, ary jereo amin'ny fepetra ny tontonana admin, indrindra amin'ny fomba manual. Pentest ity - ireo isan-jaton'ny ezaka sisa tsy eritreretinay ankehitriny.
Ilaina ny mandinika fa afaka mampiasa izany ho toy ny analogue ny enta-mavesatra fitsapana. Amin'ny dingana voalohany, azonao atao ny mamadika scanner mavitrika amin'ny kofehy 10-15 ary jereo izay mitranga, fa matetika, araka ny asehon'ny fampiharana, dia tsy misy tsara.
Loharano vitsivitsy izay matetika ampiasainay.
Mendrika asongadina dia "antsy Soisa" ho an'ny matihanina amin'ny fiarovana. Mampiasa azy ny rehetra ary tena mety. Navoaka izao ny dikan-demo vaovao amin'ny edisiona orinasa. Raha teo aloha izy io dia fitaovana tokana miaraka amin'ny plugins, amin'izao fotoana izao ny mpamorona dia manao mpizara lehibe iray izay ahafahana mitantana mpiasa maromaro. Mahafinaritra ity, manoro hevitra anao aho hanandrana azy.
Fampidirana ny dingana
Ny fampidirana dia mitranga tsara sy tsotra: manomboka scan rehefa vita ny fametrahana fampiharana ho an'ny stand sy scanning taorian'ny fitsapana fampidirana nahomby.
Raha tsy mandeha ny fampidirana na misy stubs sy fanesoana, dia zava-poana sy tsy misy ilana azy - na inona na inona lamina alefantsika dia mbola hamaly toy izany ihany ny mpizara.
- Ny tsara indrindra dia toeram-pitsapana misaraka.
- Alohan'ny hanaovana fitiliana, soraty ny filaharana fidirana.
- Ny fitiliana ny rafitra fitantanana dia atao amin'ny tanana ihany.
dingana
Generalized kely momba ny dingana amin'ny ankapobeny sy ny asan'ny fitaovana tsirairay manokana. Ny fampiharana rehetra dia samy hafa - ny iray dia miasa tsara kokoa amin'ny famakafakana mavitrika, ny iray amin'ny famakafakana static, ny fahatelo miaraka amin'ny famakafakana OpenSource, pentests, na zavatra hafa tanteraka, ohatra, hetsika miaraka amin'ny .
Mila fanaraha-maso ny dingana rehetra.
Mba hahatakarana ny fomba fiasan'ny dingana iray sy ny toerana azo hatsaraina, dia mila manangona metrika avy amin'ny zavatra rehetra azonao atao ianao, anisan'izany ny metrika famokarana, metrika avy amin'ny fitaovana, ary avy amin'ny mpanara-maso ny kilema.
Mahasoa ny fampahalalana rehetra. Ilaina ny mijery amin'ny lafiny samihafa amin'ny toerana misy an'io na io fitaovana io tsara kokoa ampiasaina, izay misy ny dingana manokana. Mety ilaina ny mijery ny fotoana famaliana ny fampandrosoana mba hahitana hoe aiza no hanatsarana ny dingana mifototra amin'ny fotoana. Arakaraka ny angon-drakitra bebe kokoa, ny fizarana bebe kokoa azo amboarina manomboka amin'ny ambaratonga ambony ka hatrany amin'ny antsipirihan'ny dingana tsirairay.
Satria ny mpanadihady static sy mavitrika rehetra dia manana ny API azy manokana, ny fomba fandefasana azy manokana, ny fitsipika, ny sasany manana fandaharam-potoana, ny hafa tsy manana - manoratra fitaovana izahay. AppSec Orkestra, izay ahafahanao mamorona teboka fidirana tokana amin'ny dingana manontolo avy amin'ny vokatra ary mitantana azy amin'ny teboka iray.
Ny mpitantana, ny mpamorona ary ny injeniera momba ny fiarovana dia manana teboka fidirana iray ahafahan'izy ireo mahita ny mandeha, manamboatra sy manao scan, mandray ny valin'ny scan, ary mametraka fepetra. Miezaka miala amin'ny antontan-taratasy izahay, handika ny zava-drehetra ho olombelona, izay ampiasain'ny fampandrosoana - pejy momba ny Confluence misy sata sy metrika, lesoka ao amin'ny Jira na amin'ny mpanara-maso misy kilema isan-karazany, na fampidirana amina dingana synchronous/asynchronous ao amin'ny CI. /CD.
Fomba lehibe
Tsy ny fitaovana no tena zava-dehibe. Eritrereto aloha ny dingana - ary ampiharo ny fitaovana. Ny fitaovana dia tsara nefa lafo, ka afaka manomboka amin'ny dingana ianao ary manorina fifandraisana sy fifankahazoana eo amin'ny fampandrosoana sy ny fiarovana. Amin'ny lafiny fiarovana dia tsy ilaina ny "ajanona" ny zava-drehetra. Raha ny lafiny fampandrosoana, raha misy zavatra avo mega super critique, dia mila esorina izany, fa tsy manakimpy ny maso amin'ny olana.
kalitaon'ny vokatra - tanjona iombonana na ny fiarovana na ny fampandrosoana. Manao zavatra iray izahay, miezaka miantoka fa mandeha tsara ny zava-drehetra ary tsy misy loza ateraky ny laza na fatiantoka ara-bola. Izany no mahatonga anay hampiroborobo ny fomba fiasa DevSecOps, SecDevOps hanatsarana ny fifandraisana sy hanatsarana ny kalitaon'ny vokatra.
Atombohy amin’izay efa anananao: fepetra takiana, maritrano, fisavana ampahany, fanofanana, torolàlana. Tsy ilaina ny mampihatra avy hatrany ny fanao rehetra amin'ny tetikasa rehetra - mihetsika miverimberina. Tsy misy fenitra tokana - andrana ary manandrana fomba fiasa sy vahaolana samihafa.
Misy famantarana mitovy eo amin'ny lesoka fiarovana ny fampahalalam-baovao sy ny lesoka miasa.
Manao ho azy ny zava-drehetraizay mihetsika. Na inona na inona tsy mihetsika, afindrao ary automatique izany. Raha misy zavatra atao amin'ny tanana dia tsy ampahany tsara amin'ny dingana izany. Angamba mendrika ny handinihana azy io sy hanamafisana azy koa.
Raha kely ny haben'ny ekipan'ny IS - mampiasa Security Champions.
Angamba tsy mety aminao ny zavatra noresahiko ary hamorona zavatra ho anao manokana ianao - ary tsara izany. SAINGY mifidiana fitaovana mifototra amin'ny fepetra takiana amin'ny fizotranao. Aza mijery izay lazain'ny fokonolona fa ratsy ity fitaovana ity ary ity no tsara. Angamba ny mifanohitra amin'izany no hitranga amin'ny vokatrao.
Fepetra momba ny fitaovana.
- Ambaratonga ambany False Positive.
- Fotoana fanadihadiana sahaza.
- Ny fanamorana fampiasana.
- Ny fisian'ny fampidirana.
- Fahatakarana ny tondrozotra amin'ny fampandrosoana ny vokatra.
- Ny mety amin'ny fanamboarana fitaovana.
Ny tatitra nataon'i Yuri dia voafidy ho iray amin'ireo tsara indrindra tao amin'ny DevOpsConf 2018. Raha te hahalala hevitra mahaliana kokoa sy tranga azo ampiharina kokoa, tongava ao Skolkovo ny 27 sy 28 Mey. AO . Tsara kokoa, raha vonona ny hizara ny traikefanao ianao, dia ho an'ny tatitra hatramin'ny 21 aprily.
Source: www.habr.com