Grundsätze der sicheren Entwicklungspraxis

Heutzutage wächst die zerstörerische Kraft von Sicherheitsbedrohungen mit der Vertiefung der Informatisierung in der Regel zu einer größeren Angriffsfläche. Zur Bewältigung aktueller und künftiger Sicherheitsbedrohungen reicht es nicht aus, sich ausschließlich auf herkömmliche Investitionen in Sicherheitsprodukte zu verlassen. Wichtiger ist neben dem Kauf von Sicherheitsprodukten auch die Stärkung des Sicherheitsbewusstseins und der Aufbau von Sicherheitsprozessen.

In verschiedenen Sicherheitsbauplänen ist „Sicherheitsfähigkeiten im Vordergrund“ ein offensichtlicher Trend. Genau wie ein Haus mit einem instabilen Fundament, schwachen Wänden und eingestürzten Böden, als es gebaut wurde, kann es nach dem Bau nicht auf der Unterstützung einiger Säulen stehen. Ohne die Anwendung eines sicheren Entwicklungsprozesses wird es unweigerlich voll sein Lücken im späteren Betrieb.

Wir glauben, dass sichere Entwicklungspraktiken die folgenden 5 wichtigen Prinzipien haben:

1. Sicherheitstraining

Sicherheitskompetenztraining ist sehr wichtig, um dies zu überbrücken Lücken in den technischen Möglichkeiten und die Verwaltung der Sicherheit in jedem Schritt des Produktlebenszyklus ist von entscheidender Bedeutung. Unternehmen müssen explizit in die Schulung des Sicherheitsbewusstseins und der Sicherheitskompetenzen investieren, um das Bewusstsein und die Fähigkeit der Entwickler zum sicheren Programmieren zu verbessern und die Empfehlungen und Maßnahmen der Sicherheitsabteilung zu verstehen, was für eine effiziente Zusammenarbeit zwischen Geschäftsteams und Sicherheitsteams von entscheidender Bedeutung ist wichtig.

Laut dem Security Status Report des SANS Institute hatten bereits 2016 mehr als die Hälfte der befragten Unternehmensstichproben in den USA Sicherheitsschulungen zu einer der Hauptaufgaben des Unternehmens gemacht. Bis heute gibt es nur eine Handvoll chinesischer Unternehmen, die die Bedeutung von Sicherheitsschulungen verstehen, und noch weniger Unternehmen, die Schulungsabsichten in Schulungsverhalten umwandeln können.

2. Sichere Anwendungsentwicklung

Derzeit hat die Sicherheit von Anwendungen bei Unternehmen große Aufmerksamkeit erregt. Um die Sicherheit der Entwicklung zu gewährleisten, gibt es zwei wichtige praktische Methoden:

(1) Verwenden Sie ein sicherheitszentriertes Prozess-Framework.

(2) Beziehen Sie das Feedback des Sicherheitsteams in den Entwickler-Workflow und die Demo-Überprüfungen für jede Iteration ein.

Für Prozess-Frameworks glauben wir, dass es am besten ist, bewährte und geeignete sicherheitsorientierte Frameworks zu übernehmen, die auf Best Practices, Softwarebibliotheken, Standards und den branchenspezifischen Vorschriften Ihres Unternehmens basieren. Die folgenden beiden bekannten Frameworks sind Sammlungen von Regeln, Techniken und Prozessen, die Entwicklungsorganisationen leiten und anwendbare Ressourcen bereitstellen. Obwohl es unterschiedliche Anliegen gibt, sind sie alle grundsätzlich sicherheitsorientiert.

Microsoft Security Development Lifecycle (SDL) : Dieser Prozess passt gut in bestehende DevOps-Umgebungen und bietet eine allgemeinere Struktur, die die Sicherheit während des gesamten Prozesses gut integriert. Unserer Erfahrung nach ist es nicht auf einen bestimmten Codetyp oder eine bestimmte Betriebsumgebung beschränkt.

Open Source Web Application Security Project (OWASP): Diese Community-Website bietet Daten zu Schwachstellen, damit verbundenen Auswirkungen und Risiken sowie Best-Practice-Anleitungen für die Entwicklung und Erkennung sicherer Webanwendungen .

Unternehmen müssen Sicherheitsteams proaktiv in den Entwicklungsprozess einbeziehen, um frühzeitig Feedback einzuholen und sie in den gesamten Entwicklungsworkflow und die iterativen Prototyp-Demos einzubeziehen. Dies hat den Vorteil, dass Teams Sicherheitsrisiken gleichzeitig während der Entwicklungsphase angehen können, um die Einführung kostspieliger Risiken in den Entwicklungsprozess zu vermeiden.

Verglichen mit der Entwicklungsphase werden die Kosten für die Beseitigung von Risiken in der Produktbetriebs- und Wartungsphase mindestens ein Dutzend Mal höher sein. Viele Entwicklungsteams fühlen sich jedoch nicht wohl dabei, mit Sicherheitsteams zusammenzuarbeiten. Den ersten Schritt zu tun und durchzuhalten, ist letztendlich ein großer Vorteil in der gesamten Sicherheitsstrategie.

3. Sicherheit+DevOps=DevSecOps

DevSecOps ist ein aufkommender Trend, der Sicherheit vollständig in den DevOps-Workflow integriert und so einen einheitlichen Prozess schafft. So wie DevOps vorgeschlagen wurde, um Entwicklungs-, Betriebs- und Wartungsprobleme gleichzeitig zu lösen, ist es nun auch notwendig, gleichzeitig Sicherheitsprobleme zu lösen.

Security + DevOpoder DevSecOps Dabei geht es nicht nur um die Erweiterung der Arbeitsinhalte jeder Stufe um Sicherheitselemente, sondern auch um stufen- und abteilungsübergreifende Schulungen zur Reduzierung von Risiken bei der Codeentwicklung.

4. Anwendungssicherheitstests (AST)

Kontinuierliche Tests sind sehr wichtig und das Tool für Anwendungssicherheitstests (AST) sollte zu einem Muss für jeden Entwickler werden Werkzeugkette. Heutzutage sind viele hervorragende Tools verfügbar, darunter auch Open-Source-Tools. Wenn Sie Tools zum Testen der Anwendungssicherheit in Betracht ziehen, empfiehlt es sich, im Voraus festzulegen, welche Tools Sie verwenden möchten, um die Schritte und Prozesse für die Codeinstrumentierung zu optimieren. Andernfalls kann das Tool den Code möglicherweise nicht vollständig und effizient instrumentieren.

AST-Tools sind in mehrere grundlegende Kategorien unterteilt:

(1) Static Application Security Testing (SAST)

(2) Dynamic Application Security Testing (DAST)

(3) Interactive Application Security Testing (IAST)

Im Bericht von Gartner aus dem Jahr 2017 heißt es: „Die meisten Unternehmen, die Anwendungen entwickeln, haben irgendeine Form von AST übernommen, aber unterschiedliche Technologien haben unterschiedliche Reifegrade DAST und SAST sind derzeit die am weitesten verbreiteten Produkttypen, aber die Marktnachfrage nach IAST zeigt ein schnelles Wachstum ”

5 , kontinuierliche Überwachung und Analyse

Kontinuierliche Überwachung und Analyse tragen zum Schutz von Anwendungen während der Betriebs- und Wartungsphase bei. Erhalten Sie kontinuierlich Feedback aus dem Monitoring und speisen Sie es in den Entwicklungsprozess ein. Die Anwendung der Überwachung und Analyse der Betriebs- und Wartungsphase ist eine grundlegende Operation mit gesundem Menschenverstand. Sie kann Unternehmen wertvolle Informationen und Daten liefern, ihnen helfen, potenzielle Lücken zu schließen und potenzielle Risiken zu reduzieren.

So wie Sicherheit in der Betriebs- und Wartungsphase nicht ohne Entwicklungssicherheit erreicht werden kann, kann Entwicklungssicherheit nicht unabhängig von Betriebs- und Wartungssicherheit erreicht werden. Ein Prozess ohne Feedback-Mechanismus ist definitiv kein guter Prozess.

Empfohlene verwandte Artikel: Web-Sicherheits-Tutorial

Das obige ist der detaillierte Inhalt vonGrundsätze der sicheren Entwicklungspraxis. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!