Kellna 2 analizzaturi tal-kodiċi, 4 għodod dinamiċi għall-ittestjar, l-artiġjanat tagħna stess u 250 skript. Mhux li dan kollu huwa meħtieġ fil-proċess attwali, iżda ladarba tibda timplimenta DevSecOps, trid tmur sal-aħħar.
. Ħallieq tal-karattri: Justin Roiland u Dan Harmon.
X'inhu SecDevOps? Xi ngħidu dwar DevSecOps? X'inhuma d-differenzi? Sigurtà tal-Applikazzjoni - dwar xiex inhi? Għaliex l-approċċ klassiku ma jaħdimx aktar? Jaf it-tweġiba għal dawn il-mistoqsijiet kollha Yuri Shabalin ta ' Sigurtà tal-Pixxispad. Yuri se jwieġeb kollox fid-dettall u janalizza l-problemi ta 'tranżizzjoni mill-mudell klassiku tas-Sigurtà tal-Applikazzjoni għall-proċess DevSecOps: kif tavviċina sew l-integrazzjoni tal-proċess ta' żvilupp sigur fil-proċess DevOps u ma tkisser xejn, kif tgħaddi mill-istadji ewlenin tal-ittestjar tas-sigurtà, liema għodod jistgħu jintużaw, u x'ivarjaw u kif jiġu kkonfigurati b'mod korrett biex jiġu evitati n-nases.
Dwar il-kelliem: Yuri Shabalin - Perit Ewlieni tas-Sigurtà fil-kumpanija Sigurtà tal-Pixxispad. Responsabbli għall-implimentazzjoni ta 'SSDL, għall-integrazzjoni ġenerali ta' għodod ta 'analiżi ta' applikazzjoni f'ekosistema unifikata ta 'żvilupp u ttestjar. 7 snin esperjenza fis-sigurtà tal-informazzjoni. Ħadem f'Alfa-Bank, Sberbank u Teknoloġiji Pożittivi, li tiżviluppa softwer u tipprovdi servizzi. Kelliema f'konferenzi internazzjonali ZerONights, PHDays, RISSPA, OWASP.
Sigurtà tal-Applikazzjoni: dwar xiex?
Applikazzjoni Sigurtà - Din hija t-taqsima tas-sigurtà li hija responsabbli għas-sigurtà tal-applikazzjoni. Dan ma japplikax għall-infrastruttura jew is-sigurtà tan-netwerk, iżda pjuttost għal dak li niktbu u fuq dak li jaħdmu l-iżviluppaturi - dawn huma n-nuqqasijiet u l-vulnerabbiltajiet tal-applikazzjoni nnifisha.
direzzjoni - Ċiklu tal-ħajja tal-iżvilupp tas-sigurtà - żviluppat minn Microsoft. Id-dijagramma turi l-mudell SDLC kanoniku, li l-kompitu ewlieni tiegħu huwa l-parteċipazzjoni tas-sigurtà f'kull stadju ta 'żvilupp, mir-rekwiżiti għar-rilaxx u l-produzzjoni. Microsoft induna li kien hemm wisq bugs fl-industrija, kien hemm aktar minnhom u kellha ssir xi ħaġa dwarha, u pproponew dan l-approċċ, li sar kanoniku.
Is-Sigurtà tal-Applikazzjoni u l-SSDL mhumiex immirati lejn l-iskoperta tal-vulnerabbiltajiet, kif huwa maħsub komunement, iżda biex jipprevjenu l-okkorrenza tagħhom. Maż-żmien, l-approċċ kanoniku ta' Microsoft ġie mtejjeb, żviluppat u introdott f'għaddasa aktar profonda u dettaljata.
L-SDLC kanoniku huwa dettaljat ħafna f'diversi metodoloġiji - OpenSAMM, BSIMM, OWASP. Il-metodoloġiji huma differenti, iżda ġeneralment simili.
Sigurtà tal-Bini Fil-Mudell tal-Maturità
Jogħġobni l-aktar BSIMM - . Il-bażi tal-metodoloġija hija d-diviżjoni tal-proċess tas-Sigurtà tal-Applikazzjoni f'4 oqsma: Governanza, Intelliġenza, Touchpoints SSDL u Skjerament. Kull qasam għandu 12-il prattika, li huma rappreżentati bħala 112-il attività.
Kull waħda mill-112-il attività għandha 3 livelli ta' maturità: Bidu, intermedju u avvanzat. Tista 'tistudja t-12-il prattika taqsima b'sezzjoni, tagħżel affarijiet li huma importanti għalik, tara kif timplimentahom u żżid gradwalment elementi, pereżempju, analiżi tal-kodiċi statika u dinamika jew reviżjoni tal-kodiċi. Tikteb pjan u bil-kalma taħdem skontu bħala parti mill-implimentazzjoni tal-attivitajiet magħżula.
Għaliex DevSecOps
DevOps huwa proċess ġenerali u kbir li fih trid titqies is-sigurtà.
Inizjalment involva kontrolli tas-sigurtà. Fil-prattika, in-numru ta 'timijiet ta' sigurtà kien ħafna iżgħar minn issa, u aġixxew mhux bħala parteċipanti fil-proċess, iżda bħala korp ta 'kontroll u sorveljanza li jimponi rekwiżiti fuqu u jiċċekkja l-kwalità tal-prodott fl-aħħar tar-rilaxx. Dan huwa approċċ klassiku li fih it-timijiet tas-sigurtà kienu wara l-ħajt mill-iżvilupp u ma pparteċipawx fil-proċess.
Il-problema ewlenija hija li s-sigurtà tal-informazzjoni hija separata mill-iżvilupp. Normalment dan huwa xi tip ta 'ċirkwit ta' sigurtà ta 'informazzjoni u fih 2-3 għodod kbar u għaljin. Darba kull sitt xhur, tasal il-kodiċi tas-sors jew l-applikazzjoni li trid tiġi ċċekkjata, u darba fis-sena jiġu prodotti . Dan kollu jwassal għall-fatt li d-data tar-rilaxx għall-industrija tittardja, u l-iżviluppatur huwa espost għal numru kbir ta 'vulnerabbiltajiet minn għodod awtomatizzati. Huwa impossibbli li tiżżarma u tissewwa dan kollu, minħabba li r-riżultati għas-sitt xhur ta 'qabel ma ġewx solvuti, iżda hawn lott ġdid.
Matul ix-xogħol tal-kumpanija tagħna, naraw li s-sigurtà fl-oqsma u l-industriji kollha tifhem li wasal iż-żmien li tlaħħaq u ddur bl-iżvilupp fuq l-istess rota - fil . Il-paradigma DevSecOps taqbel perfettament mal-metodoloġija ta 'żvilupp b'aġilità, implimentazzjoni, appoġġ u parteċipazzjoni f'kull rilaxx u iterazzjoni.
Tranżizzjoni għal DevSecOps
L-aktar kelma importanti fiċ-ċiklu tal-ħajja tal-Iżvilupp tas-Sigurtà hija "proċess". Għandek tifhem dan qabel ma taħseb dwar ix-xiri ta 'għodod.
L-inkorporazzjoni sempliċi ta’ għodod fil-proċess DevOps mhijiex biżżejjed—il-komunikazzjoni u l-fehim bejn il-parteċipanti tal-proċess huma importanti.
In-nies huma aktar importanti, mhux għodod.
Ħafna drabi, l-ippjanar għal proċess ta 'żvilupp sikur jibda bl-għażla u x-xiri ta' għodda, u jispiċċa b'tentattivi biex tintegra l-għodda fil-proċess attwali, li jibqgħu attentati. Dan iwassal għal konsegwenzi sfortunati, minħabba li l-għodod kollha għandhom il-karatteristiċi u l-limitazzjonijiet tagħhom stess.
Każ komuni huwa meta d-dipartiment tas-sigurtà għażel għodda tajba u għalja b'kapaċitajiet wiesgħa, u wasal għand l-iżviluppaturi biex jintegraha fil-proċess. Iżda ma jaħdimx - il-proċess huwa strutturat b'tali mod li l-limitazzjonijiet tal-għodda diġà mixtrija ma jidħlux fil-paradigma attwali.
L-ewwel, iddeskrivi liema riżultat trid u kif se jidher il-proċess. Dan jgħin biex jifhem ir-rwoli tal-għodda u s-sikurezza fil-proċess.
Ibda b'dak li diġà qed jintuża
Qabel ma tixtri għodod għaljin, ħares lejn dak li diġà għandek. Kull kumpanija għandha rekwiżiti ta 'sigurtà għall-iżvilupp, hemm kontrolli, pentests - għaliex ma tittrasformax dan kollu f'forma li tinftiehem u konvenjenti għal kulħadd?
Normalment ir-rekwiżiti huma Talmud tal-karta li tinsab fuq xkaffa. Kien hemm każ meta ġejna għand kumpanija biex inħarsu lejn il-proċessi u tlabna naraw ir-rekwiżiti tas-sigurtà għas-software. L-ispeċjalista li ttratta dan għamel żmien twil ifittex:
- Issa, x'imkien fin-noti kien hemm triq fejn jinsab dan id-dokument.
Bħala riżultat, irċevejna d-dokument ġimgħa wara.
Għar-rekwiżiti, kontrolli u affarijiet oħra, oħloq paġna fuq eż. konfluwenza - huwa konvenjenti għal kulħadd.
Huwa aktar faċli li tifformat mill-ġdid dak li diġà għandek u tużah biex tibda.
Uża Champions tas-Sigurtà
Tipikament, f'kumpanija medja b'100-200 żviluppatur, hemm speċjalista tas-sigurtà wieħed li jwettaq diversi funzjonijiet u fiżikament m'għandux ħin biex jiċċekkja kollox. Anke jekk jipprova minn kollox, hu waħdu mhux se jiċċekkja l-kodiċi kollu li jiġġenera l-iżvilupp. Għal każijiet bħal dawn, ġie żviluppat kunċett - .
Iċ-Ċampjins tas-Sigurtà huma nies fit-tim tal-iżvilupp li huma interessati fis-sigurtà tal-prodott tiegħek.
Champion tas-Sigurtà huwa punt ta 'dħul fit-tim ta' żvilupp u evanġelista tas-sigurtà rrumblat f'wieħed.
Normalment, meta speċjalista tas-sigurtà jasal għand tim tal-iżvilupp u jindika żball fil-kodiċi, jirċievi tweġiba sorpriża:
- U min int? Qed narak għall-ewwel darba. Kollox tajjeb miegħi - ħabib anzjan tiegħi tani "applika" fuq ir-reviżjoni tal-kodiċi, nimxu 'l quddiem!
Din hija sitwazzjoni tipika, minħabba li hemm ħafna aktar fiduċja fl-anzjani jew sempliċement sħabi tat-tim li magħhom l-iżviluppatur jinteraġixxi kontinwament fuq ix-xogħol u fir-reviżjoni tal-kodiċi. Jekk, minflok l-uffiċjal tas-sigurtà, iċ-Champion tas-Sigurtà jindika l-iżball u l-konsegwenzi, allura l-kelma tiegħu jkollha aktar piż.
Ukoll, l-iżviluppaturi jafu l-kodiċi tagħhom aħjar minn kwalunkwe speċjalista tas-sigurtà. Għal persuna li għandha mill-inqas 5 proġetti f'għodda ta 'analiżi statika, ġeneralment ikun diffiċli li tiftakar l-sfumaturi kollha. Iċ-Champions tas-Sigurtà jafu l-prodott tagħhom: dak li jinteraġixxi ma 'dak u dak li jħarsu l-ewwel - huma aktar effettivi.
Allura ikkunsidra li timplimenta Ċampjins tas-Sigurtà u tespandi l-influwenza tat-tim tas-sigurtà tiegħek. Dan huwa utli wkoll għaċ-ċampjin innifsu: żvilupp professjonali f'qasam ġdid, jespandi l-orizzonti tekniċi tiegħu, aġġornament tal-ħiliet tekniċi, maniġerjali u ta 'tmexxija, iżid il-valur tas-suq. Dan huwa xi element ta 'inġinerija soċjali, "għajnejn" tiegħek fit-tim ta' żvilupp.
Stadji tal-ittestjar
jgħid li 20% tal-isforz jipproduċi 80% tar-riżultati. Dan 20% huwa prattiki ta 'analiżi tal-applikazzjoni li jistgħu u għandhom jiġu awtomatizzati. Eżempji ta' attivitajiet bħal dawn huma analiżi statika - XOGĦOL, analiżi dinamika - DAST и Kontroll Open Source. Ngħidlek f'aktar dettall dwar l-attivitajiet, kif ukoll dwar l-għodod, liema karatteristiċi normalment niltaqgħu magħhom meta nintroduċuhom fil-proċess, u kif tagħmel dan b'mod korrett.
Problemi ewlenin ta 'għodod
Se nenfasizza problemi li huma rilevanti għall-istrumenti kollha u jeħtieġu attenzjoni. Se janalizzahom f’aktar dettall biex ma nirrepetihomx aktar.
Ħin twil ta 'analiżi. Jekk mill-impenn għar-rilaxx jieħu 30 minuta għat-testijiet u l-assemblaġġ kollha, allura l-kontrolli tas-sigurtà tal-informazzjoni se jieħdu ġurnata. Allura ħadd ma jnaqqas il-proċess. Ħu din il-karatteristika f'kunsiderazzjoni u iġbed konklużjonijiet.
Livell Għoli Falz Negattiv jew Foloz Pożittiv. Il-prodotti kollha huma differenti, kollha jużaw oqfsa differenti u l-istil ta 'kodifikazzjoni tagħhom stess. Fuq bażi ta' kodiċi u teknoloġiji differenti, l-għodod jistgħu juru livelli differenti ta' Falz Negattiv u Foloz Pożittiv. Allura ħares lejn x'inhu eżattament tal tiegħek kumpaniji u għal tiegħek applikazzjonijiet se juru riżultati tajbin u affidabbli.
L-ebda integrazzjoni ma 'għodod eżistenti. Ħares lejn għodod f'termini ta 'integrazzjoni ma' dak li diġà tuża. Pereżempju, jekk għandek Jenkins jew TeamCity, iċċekkja l-integrazzjoni tal-għodda ma 'dan is-software, u mhux ma' GitLab CI, li ma tużax.
Nuqqas jew kumplessità eċċessiva ta 'adattament. Jekk għodda m'għandhiex API, allura għaliex hija meħtieġa? Dak kollu li jista 'jsir fl-interface għandu jkun disponibbli permezz tal-API. Idealment, l-għodda għandu jkollha l-abbiltà li tippersonalizza l-kontrolli.
Ebda Pjan Direzzjonali għall-Iżvilupp tal-Prodott. L-iżvilupp ma jieqafx, aħna dejjem nużaw oqfsa u funzjonijiet ġodda, nikteb kodiċi antik mill-ġdid f'lingwi ġodda. Irridu nkunu ċerti li l-għodda li nixtru se tappoġġja oqfsa u teknoloġiji ġodda. Għalhekk, huwa importanti li tkun taf li l-prodott għandu reali u korrett żvilupp.
Karatteristiċi tal-Proċess
Minbarra l-karatteristiċi tal-għodod, ikkunsidra l-karatteristiċi tal-proċess ta 'żvilupp. Pereżempju, it-tfixkil tal-iżvilupp huwa żball komuni. Ejja nħarsu lejn liema karatteristiċi oħra għandhom jitqiesu u dak li t-tim tas-sigurtà għandu jagħti attenzjoni għalih.
Sabiex ma titlifx l-iskadenzi ta 'żvilupp u rilaxx, oħloq regoli differenti u differenti juru stoppers — kriterji biex jitwaqqaf il-proċess tal-bini fil-preżenza ta’ vulnerabbiltajiet — għal ambjenti differenti. Pereżempju, nifhmu li l-fergħa attwali tmur għall-istand tal-iżvilupp jew UAT, li jfisser li ma nieqfux u ngħidu:
"Int għandek vulnerabbiltajiet hawn, ma tmur imkien aktar!"
F'dan il-punt, huwa importanti li tgħid lill-iżviluppaturi li hemm kwistjonijiet ta 'sigurtà li jeħtieġu attenzjoni.
Il-preżenza ta' vulnerabbiltajiet mhijiex ostaklu għal aktar ittestjar: manwal, integrazzjoni jew manwal. Min-naħa l-oħra, irridu nżidu b'xi mod is-sigurtà tal-prodott, u sabiex l-iżviluppaturi ma jittraskurawx dak li jsibu sikur. Għalhekk, xi drabi nagħmlu dan: fl-istand, meta jiġi mxerred fl-ambjent tal-iżvilupp, aħna sempliċement ninnotifikaw l-iżvilupp:
- Guys, għandek problemi, jekk jogħġbok oqgħod attent għalihom.
Fl-istadju UAT nerġgħu nuru twissijiet dwar vulnerabbiltajiet, u fl-istadju tar-rilaxx ngħidu:
- Guys, wissibna diversi drabi, ma għamiltu xejn - ma nħallukx toħroġ b'dan.
Jekk nitkellmu dwar il-kodiċi u d-dinamika, allura huwa meħtieġ li nuru u twissi dwar il-vulnerabbiltajiet biss ta 'dawk il-karatteristiċi u l-kodiċi li kien għadu kemm miktub f'din il-karatteristika. Jekk żviluppatur iċċaqlaq buttuna bi 3 pixels u ngħidulu li għandu injezzjoni SQL hemmhekk u għalhekk jeħtieġ li jiġi rranġat b'mod urġenti, dan huwa ħażin. Ħares biss lejn dak li hemm miktub issa u lejn il-bidla li tiġi fl-applikazzjoni.
Ejja ngħidu li għandna ċertu difett funzjonali - il-mod kif l-applikazzjoni m'għandhiex taħdem: il-flus ma jiġux trasferiti, meta tikklikkja fuq buttuna m'hemm l-ebda transizzjoni għall-paġna li jmiss, jew il-prodott ma jgħabbix. Difetti tas-Sigurtà - dawn huma l-istess difetti, iżda mhux f'termini ta 'operazzjoni ta' applikazzjoni, iżda fis-sigurtà.
Mhux il-problemi kollha tal-kwalità tas-softwer huma problemi tas-sigurtà. Iżda l-problemi kollha tas-sigurtà huma relatati mal-kwalità tas-softwer. Sherif Mansour, Expedia.
Peress li l-vulnerabbiltajiet kollha huma l-istess difetti, għandhom ikunu jinsabu fl-istess post bħad-difetti kollha tal-iżvilupp. Mela tinsa rapporti u PDFs tal-biża’ li ħadd ma jaqra.
Meta kont qed naħdem f'kumpanija ta 'żvilupp, irċevejt rapport minn għodod ta' analiżi statika. Ftaħtu, bqajt imwerwer, għamilt il-kafè, ħarġet 350 paġna, għalaqt u bqajt naħdem. Rapporti kbar huma rapporti mejta. Normalment ma jmorru imkien, l-ittri jitħassru, jintesew, jintilfu, jew in-negozju jgħid li jaċċetta r-riskji.
X'tagħmel? Aħna sempliċiment nikkonverti d-difetti kkonfermati li sibna f'forma konvenjenti għall-iżvilupp, pereżempju, inpoġġuhom f'lura f'Jira. Aħna nipprijoritizzaw id-difetti u neliminawhom f'ordni ta 'prijorità, flimkien ma' difetti funzjonali u difetti tat-test.
Analiżi Statika - SAST
Din hija analiżi tal-kodiċi għall-vulnerabbiltajiet., iżda mhuwiex l-istess bħal SonarQube. Aħna ma niċċekkjawx biss mudelli jew stil. Numru ta 'approċċi huma użati fl-analiżi: skond is-siġra tal-vulnerabbiltà, skond , billi tanalizza l-fajls tal-konfigurazzjoni. Dan huwa dak kollu li jikkonċerna l-kodiċi innifsu.
Vantaġġi tal-approċċ: l-identifikazzjoni ta' vulnerabbiltajiet fil-kodiċi fi stadju bikri ta' żviluppmeta għad m'hemmx stands jew għodda lesti, u kapaċità ta' skennjar inkrementali: skanjar ta' taqsima ta' kodiċi li nbidlet, u biss il-karatteristika li qed nagħmlu bħalissa, li tnaqqas il-ħin tal-iskannjar.
Cons - dan huwa n-nuqqas ta' appoġġ għal-lingwi meħtieġa.
Integrazzjonijiet meħtieġa, li għandu jkun fl-għodod, fl-opinjoni suġġettiva tiegħi:
- Għodda ta 'integrazzjoni: Jenkins, TeamCity u Gitlab CI.
- Ambjent ta' żvilupp: Intellij IDEA, Visual Studio. Huwa aktar konvenjenti għal żviluppatur li ma jinnavigax interface inkomprensibbli li għad irid jiġi memorizzat, iżda li jara l-integrazzjonijiet u l-vulnerabbiltajiet kollha meħtieġa li huwa sab dritt fuq il-post tax-xogħol fl-ambjent ta 'żvilupp tiegħu stess.
- Reviżjoni tal-kodiċi: SonarQube u reviżjoni manwali.
- Intraċċaturi tad-difetti: Jira u Bugzilla.
L-istampa turi wħud mill-aqwa rappreżentanti tal-analiżi statika.
Mhumiex l-għodod li huma importanti, iżda l-proċess, għalhekk hemm soluzzjonijiet ta 'Open Source li huma wkoll tajbin għall-ittestjar tal-proċess.
SAST Open Source mhux se jsib numru kbir ta 'vulnerabbiltajiet jew DataFlows kumplessi, iżda jistgħu u għandhom jintużaw meta jinbena proċess. Jgħinu biex wieħed jifhem kif se jinbena l-proċess, min se jirrispondi għall-bugs, min se jirrapporta, u min se jirrapporta. Jekk trid twettaq l-istadju inizjali tal-bini tas-sigurtà tal-kodiċi tiegħek, uża soluzzjonijiet Open Source.
Dan kif jista' jiġi integrat jekk qiegħed fil-bidu tal-vjaġġ tiegħek u ma jkollok xejn: la CI, la Jenkins, l-ebda TeamCity? Ejja nikkunsidraw l-integrazzjoni fil-proċess.
Integrazzjoni fil-livell CVS
Jekk għandek Bitbucket jew GitLab, tista 'tintegra fil-livell .
Skont l-avveniment - talba tal-ġbid, tikkommetti. Tiskennja l-kodiċi u l-istatus tal-bini juri jekk il-kontroll tas-sigurtà għaddax jew fallax.
Feedback. Naturalment, il-feedback huwa dejjem meħtieġ. Jekk għadek kif għamilt is-sigurtà fuq in-naħa, poġġiha f'kaxxa u ma għidt lil ħadd dwarha, u mbagħad fl-aħħar tax-xahar iddampja mazz ta 'bugs - dan mhux korrett u mhux tajjeb.
Integrazzjoni mas-sistema ta' reviżjoni tal-kodiċi
Darba, aġixxejna bħala r-reviżur default għal utent tekniku ta 'AppSec f'numru ta' proġetti importanti. Skont jekk l-iżbalji humiex identifikati fil-kodiċi l-ġdid jew jekk hemmx żbalji, ir-reviżur jistabbilixxi l-istatus fuq it-talba tal-ġibda biex "jaċċetta" jew "jeħtieġ xogħol" - jew kollox huwa OK, jew ir-rabtiet għal dak li jeħtieġ li jitjieb eżattament jeħtieġ li jittejbu. Għall-integrazzjoni mal-verżjoni li sejra fil-produzzjoni, ippermettejna projbizzjoni tal-għaqda jekk it-test tas-sigurtà tal-informazzjoni ma jgħaddix. Aħna inkludew dan fir-reviżjoni tal-kodiċi manwali, u parteċipanti oħra fil-proċess raw l-istatus tas-sigurtà għal dan il-proċess partikolari.
Integrazzjoni ma' SonarQube
Ħafna għandhom f'termini ta' kwalità tal-kodiċi. Huwa l-istess hawn - tista 'tagħmel l-istess gradi biss għall-għodod SAST. Se jkun hemm l-istess interface, l-istess bieb ta 'kwalità, biss se jissejjaħ gate tas-sigurtà. U wkoll, jekk għandek proċess li juża SonarQube, tista 'faċilment tintegra kollox hemmhekk.
Integrazzjoni fil-livell CI
Kollox hawnhekk huwa wkoll pjuttost sempliċi:
- Bl-istess mod mal-awtotests, testijiet tal-unità.
- Diviżjoni skond l-istadji ta' żvilupp: dev, test, prod. Jistgħu jiġu inklużi settijiet differenti ta 'regoli jew kundizzjonijiet differenti ta' falliment: waqqaf l-assemblaġġ, twaqqafx l-assemblaġġ.
- Tnedija sinkronika/asinkronika. Qed nistennew it-tmiem tat-testijiet tas-sigurtà jew le. Jiġifieri, aħna biss nediethom u nimxu 'l quddiem, u mbagħad niksbu l-istatus li kollox huwa tajjeb jew ħażin.
Dan kollu f'dinja roża perfetta. M'hemm l-ebda ħaġa bħal din fil-ħajja reali, imma naħdmu. Ir-riżultat tat-twettiq tal-kontrolli tas-sigurtà għandu jkun simili għar-riżultati tat-testijiet tal-unità.
Pereżempju, ħadna proġett kbir u ddeċidejna li issa se niskennjawh bis-SAST - OK. Imbuttajna dan il-proġett fis-SAST, tana 20 vulnerabilità u b’deċiżjoni b’rieda qawwija ddeċidejna li kollox kien tajjeb. 000 vulnerabilità huma d-dejn tekniku tagħna. Aħna npoġġu d-dejn f'kaxxa, nagħtuh bil-mod u nżidu l-bugs għal difett ta' trackers. Ejja nimpjegaw kumpanija, nagħmlu kollox aħna, jew inħallu ċ-Ċampjins tas-Sigurtà jgħinuna - u d-dejn tekniku jonqos.
U l-vulnerabbiltajiet ġodda kollha emerġenti fil-kodiċi l-ġdid għandhom jiġu eliminati bl-istess mod bħall-iżbalji f'unità jew fl-awtotests. Relattivament titkellem, l-assemblaġġ beda, aħna mexxa, żewġ testijiet u żewġ testijiet ta 'sigurtà fallew. OK - morna, ħares lejn dak li ġara, rranġaw ħaġa waħda, rranġaw oħra, għamilna l-ħin li jmiss - kollox kien tajjeb, ma dehru l-ebda vulnerabilitajiet ġodda, l-ebda testijiet ma fallew. Jekk dan il-kompitu huwa aktar profond u għandek bżonn tifhimha sew, jew l-iffissar tal-vulnerabbiltajiet jaffettwa saffi kbar ta 'dak li jinsab taħt il-barnuża: ġie miżjud bug mat-tracker tad-difetti, huwa prijoritizzat u kkoreġut. Sfortunatament, id-dinja mhix perfetta u t-testijiet kultant ifallu.
Eżempju ta 'gate tas-sigurtà huwa analogu ta' gate ta 'kwalità, f'termini tal-preżenza u n-numru ta' vulnerabbiltajiet fil-kodiċi.
Aħna nintegraw ma' SonarQube - il-plugin huwa installat, kollox huwa konvenjenti ħafna u jibred.
Integrazzjoni mal-ambjent tal-iżvilupp
Għażliet ta' integrazzjoni:
- Tmexxi skan mill-ambjent ta 'żvilupp qabel ma tikkommetti.
- Ara r-riżultati.
- Analiżi tar-riżultati.
- Sinkronizzazzjoni mas-server.
Dan huwa dak li jidher li tirċievi riżultati mis-server.
Fl-ambjent ta 'żvilupp tagħna sempliċiment jidher oġġett addizzjonali li jinfurmak li dawn il-vulnerabbiltajiet ġew skoperti waqt l-iskannjar. Tista' immedjatament teditja l-kodiċi, tħares lejn ir-rakkomandazzjonijiet u . Dan kollu jinsab fuq il-post tax-xogħol tal-iżviluppatur, li huwa konvenjenti ħafna - m'hemmx għalfejn issegwi links oħra u tħares lejn xi ħaġa addizzjonali.
Open Source
Dan huwa s-suġġett favorit tiegħi. Kulħadd juża libreriji Open Source - għaliex tikteb mazz ta 'krozzi u roti meta tista' tieħu librerija lesta li fiha kollox huwa diġà implimentat?
Ovvjament dan huwa minnu, iżda l-libreriji huma wkoll miktuba minn nies, jinkludu wkoll ċerti riskji u hemm ukoll vulnerabbiltajiet li huma rrapportati perjodikament, jew kontinwament. Għalhekk, hemm il-pass li jmiss fis-Sigurtà tal-Applikazzjoni - din hija l-analiżi tal-komponenti Open Source.
Analiżi Open Source - OSA
L-għodda tinkludi tliet stadji kbar.
Tiftix għal vulnerabbiltajiet fil-libreriji. Per eżempju, l-għodda taf li qed nużaw xi librerija, u li fil jew hemm xi vulnerabbiltajiet fil-bug trackers li għandhom x'jaqsmu ma 'din il-verżjoni tal-librerija. Meta tipprova tużaha, l-għodda toħroġ twissija li l-librerija hija vulnerabbli u tagħtik parir biex tuża verżjoni oħra li m'għandhiex vulnerabbiltajiet.
Analiżi tal-purità tal-liċenzja. Dan għadu mhux partikolarment popolari hawn, iżda jekk taħdem barra, allura minn żmien għal żmien tista 'tikseb taxxa hemmhekk għall-użu ta' komponent ta 'sors miftuħ li ma jistax jintuża jew jiġi modifikat. Skont il-politika tal-librerija liċenzjata, ma nistgħux nagħmlu dan. Jew, jekk immodifikaha u nużawha, għandna npoġġu l-kodiċi tagħna. Naturalment, ħadd ma jrid jippubblika l-kodiċi tal-prodotti tiegħu, iżda tista 'wkoll tipproteġi lilek innifsek minn dan.
Analiżi ta' komponenti li jintużaw f'ambjent industrijali. Ejja nimmaġinaw sitwazzjoni ipotetika li fl-aħħar lestejna l-iżvilupp u rrilaxxajna l-aħħar rilaxx tal-mikroservizz tagħna. Jgħix hemm mill-isbaħ - ġimgħa, xahar, sena. Aħna ma niġbruhiex, ma nagħmlux kontrolli tas-sigurtà, kollox jidher li hu tajjeb. Iżda f'daqqa waħda, ġimgħatejn wara r-rilaxx, tidher vulnerabbiltà kritika fil-komponent Open Source, li nużaw f'din il-bini partikolari, fl-ambjent industrijali. Jekk ma nirreġistrawx liema u fejn nużaw, allura sempliċement mhux se naraw din il-vulnerabbiltà. Xi għodod għandhom il-kapaċità li jimmonitorjaw il-vulnerabbiltajiet fil-libreriji li bħalissa jintużaw fl-industrija. Huwa utli ħafna.
Karatteristiċi:
- Politiki differenti għal stadji differenti ta' żvilupp.
- Komponenti ta 'monitoraġġ f'ambjent industrijali.
- Kontroll tal-libreriji fi ħdan l-organizzazzjoni.
- Appoġġ għal diversi sistemi ta 'bini u lingwi.
- Analiżi ta 'immaġini Docker.
Ftit eżempji ta’ mexxejja tal-industrija li huma involuti fl-analiżi Open Source.
L-uniku wieħed b'xejn huwa dan minn OWASP. Tista' tixgħel fl-ewwel stadji, tara kif taħdem u x'tappoġġja. Bażikament, dawn huma kollha prodotti tas-sħab, jew fuq il-post, iżda wara l-bażi tagħhom xorta jintbagħtu lill-Internet. Huma jibagħtu mhux il-libreriji tiegħek, iżda hashes jew il-valuri tagħhom stess, li huma jikkalkulaw, u marki tas-swaba 'lis-server tagħhom biex jirċievu informazzjoni dwar il-preżenza ta' vulnerabbiltajiet.
Integrazzjoni tal-proċess
Kontroll perimetru tal-libreriji, li jitniżżlu minn sorsi esterni. Għandna repożitorji esterni u interni. Pereżempju, Event Central imexxi Nexus, u rridu niżguraw li ma jkun hemm l-ebda vulnerabbiltajiet fi ħdan ir-repożitorju tagħna bi status "kritiku" jew "għoli". Tista' tikkonfigura l-proxying billi tuża l-għodda Nexus Firewall Lifecycle sabiex tali vulnerabbiltajiet jinqatgħu u ma jispiċċawx fir-repożitorju intern.
Integrazzjoni fis-CI. Fuq l-istess livell ma 'awtotests, testijiet ta' unità u diviżjoni fi stadji ta 'żvilupp: dev, test, prod. F'kull stadju, tista 'tniżżel kwalunkwe librerija, tuża xi ħaġa, imma jekk hemm xi ħaġa diffiċli bl-istatus "kritiku", forsi ta' min jiġbed l-attenzjoni tal-iżviluppaturi għal dan fl-istadju tar-rilaxx fil-produzzjoni.
Integrazzjoni ma 'artifacts: Nexus u JFrog.
Integrazzjoni fl-ambjent tal-iżvilupp. L-għodod li tagħżel għandu jkollhom integrazzjoni ma 'ambjenti ta' żvilupp. L-iżviluppatur għandu jkollu aċċess għar-riżultati tal-iskannjar mill-post tax-xogħol tiegħu, jew il-kapaċità li jiskennja u jiċċekkja l-kodiċi hu stess għal vulnerabbiltajiet qabel ma jimpenja ruħu għal CVS.
integrazzjoni CD. Din hija karatteristika sabiħa li jogħġobni ħafna u li diġà tkellimt dwarha - il-monitoraġġ tal-emerġenza ta 'vulnerabbiltajiet ġodda f'ambjent industrijali. Jaħdem xi ħaġa bħal din.
Għandna Repożitorji tal-Komponenti Pubbliċi — xi għodod barra, u r-repożitorju intern tagħna. Irridu li jkun fih biss komponenti fdati. Meta nipprokuraw talba, aħna niċċekkjaw li l-librerija mniżżla ma jkollhiex vulnerabbiltajiet. Jekk taqa’ taħt ċerti politiki li nistabbilixxu u neċessarjament nikkoordinaw mal-iżvilupp, allura ma ntellgħux u niġu mħeġġa nużaw verżjoni oħra. Għaldaqstant, jekk ikun hemm xi ħaġa tassew kritika u ħażina fil-librerija, allura l-iżviluppatur mhux se jirċievi l-librerija fl-istadju tal-installazzjoni - ħallih juża verżjoni ogħla jew aktar baxxa.
- Meta nibnu, niċċekkjaw li ħadd ma żelaq xi ħaġa ħażina, li l-komponenti kollha huma sikuri u ħadd ma ġab xi ħaġa perikoluża fuq il-flash drive.
- Għandna biss komponenti fdati fir-repożitorju.
- Waqt l-iskjerament, nerġgħu niċċekkjaw il-pakkett innifsu: gwerra, vażett, DL jew immaġni Docker biex niżguraw li jikkonforma mal-politika.
- Meta nidħlu fl-industrija, aħna nissorveljaw dak li qed jiġri fl-ambjent industrijali: vulnerabbiltajiet kritiċi jidhru jew ma jidhrux.
Analiżi Dinamika - DAST
Għodod ta 'analiżi dinamika huma fundamentalment differenti minn dak kollu li ntqal qabel. Din hija tip ta 'imitazzjoni tax-xogħol tal-utent bl-applikazzjoni. Jekk din hija applikazzjoni tal-web, aħna nibagħtu talbiet, jissimulaw ix-xogħol tal-klijent, ikklikkja fuq il-buttuni fuq quddiem, ibgħat dejta artifiċjali mill-formola: kwotazzjonijiet, parentesi, karattri f'kodifikazzjonijiet differenti, biex tara kif taħdem u tipproċessa l-applikazzjoni data esterna.
L-istess sistema tippermettilek tiċċekkja l-vulnerabbiltajiet tal-mudelli f'Open Source. Peress li DAST ma jafx liema Sors Miftuħ qed nużaw, sempliċement jitfa 'mudelli "malizzjużi" u janalizza r-risposti tas-server:
- Iva, hawn problema ta' deserialization, iżda mhux hawn.
Hemm riskji kbar f'dan, għaliex jekk tagħmel dan it-test tas-sigurtà fuq l-istess bank li jaħdmu miegħu t-testers, jistgħu jiġru affarijiet spjaċevoli.
- Tagħbija għolja fuq in-netwerk tas-server tal-applikazzjoni.
- L-ebda integrazzjonijiet.
- Kapaċità li tbiddel is-settings tal-applikazzjoni analizzata.
- M'hemm l-ebda appoġġ għat-teknoloġiji meħtieġa.
- Diffikultà fl-istabbiliment.
Kellna sitwazzjoni meta fl-aħħar nedejna AppScan: qattajna żmien twil nippruvaw niksbu aċċess għall-applikazzjoni, ksibna 3 kontijiet u konna kuntenti - fl-aħħar niċċekkjaw kollox! Nedejna skan, u l-ewwel ħaġa li għamlet AppScan kienet li tidħol fil-pannell tal-amministrazzjoni, ittaqqab il-buttuni kollha, ibiddel nofs id-dejta, u mbagħad joqtol kompletament is-server b' -talbiet. L-iżvilupp bl-ittestjar qal:
- Guys, qed tiċħadni?! Tajna l-kontijiet, u waqqaft stand!
Ikkunsidra r-riskji possibbli. Idealment, ipprepara stand separat għall-ittestjar tas-sigurtà tal-informazzjoni, li tkun iżolata mill-bqija tal-ambjent tal-inqas b'xi mod, u b'mod kondizzjonali iċċekkja l-pannell tal-amministrazzjoni, preferibbilment f'mod manwali. Dan huwa pentest - dawk il-persentaġġi ta 'sforz li fadal li m'aħniex nikkunsidraw issa.
Ta 'min jikkunsidra li tista' tuża dan bħala analogu tal-ittestjar tat-tagħbija. Fl-ewwel stadju, tista 'tixgħel skaner dinamiku b'10-15-il ħajt u tara x'jiġri, iżda ġeneralment, kif turi l-prattika, xejn tajjeb.
Ftit riżorsi li normalment nużaw.
Ta’ min jenfasizza hija "sikkina Żvizzera" għal kull professjonist tas-sigurtà. Kulħadd jużaha u huwa konvenjenti ħafna. Verżjoni demo ġdida tal-edizzjoni intrapriża issa ġiet rilaxxata. Jekk qabel kienet biss utilità waħedha bil-plugins, issa l-iżviluppaturi fl-aħħar qed jagħmlu server kbir li minnu jkun possibbli li jimmaniġġjaw diversi aġenti. Dan huwa frisk, nirrakkomanda li tipprovaha.
Integrazzjoni tal-proċess
L-integrazzjoni sseħħ pjuttost tajjeb u sempliċiment: tibda skennjar wara installazzjoni b'suċċess applikazzjonijiet għall-istand u skanjar wara ttestjar ta 'integrazzjoni b'suċċess.
Jekk l-integrazzjonijiet ma jaħdmux jew hemm stubs u funzjonijiet mock, huwa inutli u inutli - irrispettivament minn liema mudell nibagħtu, is-server xorta se jirrispondi bl-istess mod.
- Idealment, stand għall-ittestjar separat.
- Qabel l-ittestjar, ikteb is-sekwenza tal-login.
- L-ittestjar tas-sistema ta' amministrazzjoni huwa manwali biss.
proċess
Ftit ġeneralizzat dwar il-proċess b'mod ġenerali u dwar ix-xogħol ta 'kull għodda b'mod partikolari. L-applikazzjonijiet kollha huma differenti - wieħed jaħdem aħjar b'analiżi dinamika, ieħor b'analiżi statika, terz b'analiżi OpenSource, pentests, jew xi ħaġa oħra għal kollox, pereżempju, avvenimenti b' .
Kull proċess jeħtieġ kontroll.
Biex tifhem kif jaħdem proċess u fejn jista’ jittejjeb, trid tiġbor metriċi minn dak kollu li tista’ tieħu idejk fuqu, inklużi metriċi tal-produzzjoni, metriċi minn għodod, u minn trackers tad-difetti.
Kwalunkwe informazzjoni hija utli. Huwa meħtieġ li wieħed iħares minn angoli differenti fejn din jew dik l-għodda tintuża aħjar, fejn il-proċess speċifikament jonqos. Jista 'jkun ta' min tħares lejn il-ħinijiet ta 'rispons għall-iżvilupp biex tara fejn ittejjeb il-proċess ibbażat fuq il-ħin. Iktar ma jkun hemm data, aktar sezzjonijiet jistgħu jinbnew mill-ogħla livell għad-dettalji ta 'kull proċess.
Peress li l-analizzaturi statiċi u dinamiċi kollha għandhom l-APIs tagħhom stess, il-metodi tat-tnedija tagħhom stess, il-prinċipji, xi wħud għandhom schedulers, oħrajn le - qed niktbu għodda Orkestratur tal-AppSec, li jippermettilek li toħloq punt ta' dħul wieħed fil-proċess kollu mill-prodott u timmaniġġjah minn punt wieħed.
Il-maniġers, l-iżviluppaturi u l-inġiniera tas-sigurtà għandhom punt ta’ dħul wieħed li minnu jistgħu jaraw x’inhu għaddej, jikkonfiguraw u jmexxu skan, jirċievu r-riżultati tal-iskanjar, u jissottomettu r-rekwiżiti. Qed nippruvaw nimxu 'l bogħod mill-burokrazija, biex nittraduċu kollox f'waħda umana, li tintuża mill-iżvilupp - paġni dwar Konfluwenza bi status u metriċi, difetti f'Jira jew f'diversi trackers ta' difetti, jew integrazzjoni fi proċess sinkroniku/asynchronous fis-CI /CD.
Teħid ta 'Ħlas Ewlenin
L-għodod mhumiex il-ħaġa prinċipali. L-ewwel aħseb fil-proċess - imbagħad implimenta l-għodod. L-għodod huma tajbin iżda għaljin, għalhekk tista 'tibda bil-proċess u tibni komunikazzjoni u fehim bejn l-iżvilupp u s-sigurtà. Mil-lat tas-sigurtà, m'hemmx bżonn li "twaqqaf" kollox. Mil-lat ta 'żvilupp, jekk ikun hemm xi ħaġa għolja mega super kritika, allura jeħtieġ li tiġi eliminata, u ma tagħlaqx għajnejk għall-problema.
Kwalità tal-prodott - għan komuni kemm is-sigurtà kif ukoll l-iżvilupp. Nagħmlu ħaġa waħda, nippruvaw niżguraw li kollox jaħdem b'mod korrett u ma jkunx hemm riskji għar-reputazzjoni jew telf finanzjarju. Huwa għalhekk li nippromwovu approċċ DevSecOps, SecDevOps biex intejbu l-komunikazzjoni u ntejbu l-kwalità tal-prodott.
Ibda minn dak li diġà għandek: rekwiżiti, arkitettura, kontrolli parzjali, taħriġ, linji gwida. M'hemmx bżonn li jiġu applikati immedjatament il-prattiki kollha għall-proġetti kollha - jimxu b'mod iterattiv. M'hemm l-ebda standard wieħed - esperiment u pprova approċċi u soluzzjonijiet differenti.
Hemm sinjal ugwali bejn difetti fis-sigurtà tal-informazzjoni u difetti funzjonali.
Awtomatizza kolloxli jiċċaqlaq. Tkun xi tkun ma tiċċaqlaqx, ċċaqlaqha u awtomatha. Jekk xi ħaġa ssir bl-idejn, mhix parti tajba mill-proċess. Forsi ta 'min jirrevediha u awtomatha wkoll.
Jekk id-daqs tat-tim IS huwa żgħir - uża Champions tas-Sigurtà.
Forsi dak li tkellimt dwaru mhux se jaqbellek u inti toħroġ b'xi ħaġa tiegħek - u dan huwa tajjeb. Iżda agħżel għodod ibbażati fuq ir-rekwiżiti għall-proċess tiegħek. Tħarisx lejn dak li tgħid il-komunità, li din l-għodda hija ħażina u din hija tajba. Forsi l-oppost se jkun veru għall-prodott tiegħek.
Rekwiżiti għall-għodda.
- Livell baxx Foloz Pożittiv.
- Ħin ta' analiżi adegwat.
- Faċilità ta 'użu.
- Disponibbiltà ta' integrazzjonijiet.
- Nifhmu l-pjan direzzjonali għall-iżvilupp tal-prodott.
- Possibbiltà ta 'customizing għodod.
Ir-rapport ta’ Yuri intgħażel bħala wieħed mill-aqwa fid-DevOpsConf 2018. Biex tiffamiljarizza ruħek ma’ ideat u każijiet prattiċi saħansitra aktar interessanti, ejja Skolkovo fis-27 u t-28 ta’ Mejju. fi ħdan . Aħjar, jekk inti lest li taqsam l-esperjenza tiegħek, allura għar-rapport sal-21 ta’ April.
Sors: www.habr.com