DevSecOps的六大支柱-自动化.pdf
《DevSecOps的六大支柱-自动化.pdf》由会员分享,可在线阅读,更多相关《DevSecOps的六大支柱-自动化.pdf(27页珍藏版)》请在咨信网上搜索。
1、 2023 云安全联盟大中华区版权所有1 2023 云安全联盟大中华区版权所有3 2023 云安全联盟大中华区版权所有4致致谢谢DevSecOps-的六大支柱:自动化(The Six Pillars of DevSecOps:Automation)由 CSA 工作组专家编写,CSA 大中华区秘书处组织翻译并审校。中中文文版版翻翻译译专专家家组组(排名不分先后):组组长长:李岩翻翻译译组组:伏伟任何国锋何伊圣贺志生江楠江泽鑫陆琪余晓光审审校校组组:何国锋江楠李岩研研究究协协调调员员:卜宋博感感谢谢以以下下单单位位的的支支持持与与贡贡献献:中国电信股份有限公司研究院华为技术有限公司腾讯云计算(北京
2、)有限责任公司 2023 云安全联盟大中华区版权所有5英英文文版版本本编编写写专专家家主主要要作作者者:Souheil MoghnieTheodore NiedzialkowskiSam Sehgal贡贡献献者者:Michael RozaCSA 分分析析师师:Sean Heide特特别别感感谢谢:Ankur GargiRaj HandaManuel IflandJohn MartinKamran SadiqueCharanjeet SinghAltaz Valani在此感谢以上专家。如译文有不妥当之处,敬请读者联系 CSA GCR 秘书处给予雅正!联系邮箱 researchc-;国际云安全联盟
3、 CSA 公众号。2023 云安全联盟大中华区版权所有6序序言言DevSecOps 是基于 DevOps 安全敏捷化的一场变革,DevSecOps 的出现也改变了安全解决方案及安全合规的新思维。CSA 针对 DevSecOps 提出了六大支柱,分别为集体责任、培训和流程整合、实用的实施、建立合规与发展的桥梁、自动化、度量、监控、报告和行动等内容。DevSecOps 的核心意味着要把安全管理思想全面地覆盖到整个框架中软件开发生命周期中,实现基于安全性的自动化是关键的核心问题。在 DevOps 名著 持续交付中就指出应将几乎所有事情自动化,本白皮书以自动化为核心,提出了 CSA DevSecOps
4、 软件交付流水线,将安全传递给 DevOps 团队,权衡软件开发和安全需求,从而通过自动集成提高交付效率。通过学习 CSA DevSecOps 自动化的交付模式,可以帮助企业提升数字化业务的交付能力,实现基于风险的安全自动化的新方案。DevSecOps 也是 CSA 高级云安全专家课程(CSA ACSE)的核心内容,DevSecOps是践行共享安全责任的协作表现,DevSecOps 意味着从一开始就考虑应用程序和基础设施安全,实现自动化安全质量门禁。只有基于 DevOps 整合 IT 的合作文化,才能构建 DevSecOps 集成安全性、开发和运营实现自动化流水线,帮助企业实现其数字化转型的业
5、务目标。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2023 云安全联盟大中华区版权所有7目目录录致谢.4序言.6前言.9介绍.90.1 背景.90.2 目的.100.3 读者群体.111.适用范围.112.规范引用文件.113.术语和定义.114.CSA DevSecOps 软件交付流水线.144.1 总则.144.2 结构.154.2.1 总则.154.2.2 阶段.154.2.3 触发器.164.2.4 活动.174.3 流水线的设置和维护.175.风险优先的流水线.185.1 概述.185.2 风险因素.195.2.1 应用程序风险.195.2.2 变更请求的风险.195.
6、2.3 流水线及其交付物的可靠记录的风险.195.3 流水线配置的优先级.196.交付流水线的活动框架.216.1 概述.21 2023 云安全联盟大中华区版权所有86.2 安全的设计.216.3 安全的编码.226.4 安全的软件组件.236.5 安全的应用程序.246.6 安全的运行环境.246.7 密钥管理.257.自动化最佳实践.257.1 概述.257.2 缓解漏洞.257.3 异步测试.267.4 持续反馈回路.267.5 破坏构建.278.总结.27参考文献.28 2023 云安全联盟大中华区版权所有9前前言言云安全联盟(CSA)和 SAFECode 都致力于提高软件安全成果。2
7、019 年 8 月发布了文章DevSecOps 的六大支柱提供了一组高阶方法,成功实施了作者使用的解决方案,以快速构建软件并将与安全相关的错误降至最低。这六大支柱是:支柱 1:集体责任(2020.02.20 发布)支柱 2:培训和流程整合支柱 3:实用的实施支柱 4:建立合规与发展的桥梁(2022.02.03 发布)支柱 5:自动化(2022.07.06 发布)支柱 6:度量、监控、报告和行动为支持六大支柱,云安全联盟和 SAFECode1联合发布了一系列更详细的成功解决方案。本文是此系列出版物的第二篇。介介绍绍0.1 背背景景DevSecOps 自动化支柱提倡使用安全自动化来实现反思性安全。
8、具体而言,实施安全自动化和程序化执行框架以及安全控制监控,以识别、保护、检测、响应、并从网络威胁中恢复。2自动化是 DevSecOps 的一个重要组成部分,它能够提高流程效率,使开发人员、基础设施和信息安全团队专注于交付价值,而不是重复人工工作和繁复的错误。1SAFECode 是一家全球性的非营利组织,定期组织商界领袖和技术专家聚集在一起,交流创建、改进和促进有效和可扩展的软件安全议题2反思性安全是一种动态的、交互式的、整体的、有效的信息安全管理策略。它代表了从现有协作概念和实践中推断出来的文化实践,并提供了一套影响组织网络安全态势的广泛含义和易于理解的原则 2023 云安全联盟大中华区版权所
9、有10本文注重介绍一种基于风险的安全自动化方案,该方案在整个持续的软件开发部署周期中串联自动化安全操作。可以自动化的活动包括应用、主机和容器漏洞扫描等。DevOps 团队灵活利用持续集成、持续交付和基础设施即代码在内的最佳实践,能够动态满足用户需求并更快速地交付。为了将信息安全控制集成到这个过程中,自动化安全能力对于提供及时且有意义的反馈至关重要。当今云基础设施的复杂性意味着即使微小的代码变更也可能对下游产生很大的影响。因此,安全检查需要集成到整个软件开发和部署生命周期中,贯穿设计、实施、测试和发布,并在生产中保持监控。与反思性安全的实用的实施支柱步调一致,采用适当的自动化安全能力就能够实现快
10、速反馈,并有可能消除整类风险。例如,容器扫描以确保加固操作系统或对已知的通用漏洞披露(CVE)进行软件组成分析。0.2 目目的的本文提供了一个框架,将自动化能够通过以下方式将安全性透明集成到软件开发生命周期中:将安全相关的信息快速、互惠地传递给 DevOps 团队,通过设计连续的方式创建和验证安全代码,避免将安全问题留到交付时的单一阶段解决。权衡软件开发和安全需求,从而通过自动集成提高交付效率。2023 云安全联盟大中华区版权所有110.3 读读者者群群体体本文的目标读者包括涉及安全风险、信息安全和信息技术的管理和运营岗位工作人员。包括最高管理层(CISO、CIO、CTO、CRO、COO、CE
11、O)尤其是涉及以下职能领域的个人:DevSecOps、自动化、DevOps、质量保证、信息安全、治理、风险管理、变更管理与合规。1.适适用用范范围围本文描述了 DevSecOps 的自动化支柱:安全自动化的必要性、安全测试自动化技术以及实现机制。本文专门提供了一个整体框架,用于促进 DevSecOps 中的安全自动化和安全控制自动化的最佳实践,并解释了有关 DevSecOps 安全测试中的常见误解。2.规规范范引引用用文文件件部分或全部内容符合本文要求时,可在文中引用下列文件。对于注明日期的参考文献,仅版本适用的文章参考使用。对于未注明日期的引用,适用引用文件的最新版本参考使用。ISO/IEC
12、 27000:2018,信息技术安全技术信息安全管理系统概述和词汇;CSA 通过反思性安全进行信息安全管理;CSA DevSecOps 的六大支柱;3.术术语语和和定定义义出于本文档目的,ISO 27000、通过反思性安全的 CSA 信息安全管理以及以下内容中给出的术语和定义均适用。2023 云安全联盟大中华区版权所有123.1 软软件件组组成成分分析析(SCA)分析具有已知漏洞的软件组件的应用或编译代码的安全测试。注释 1:软件组成分析中的软件组件可能包括开源、库和公共代码。注释 2:已知漏洞可通过漏洞库(如 CVE)发现。3.2 静静态态应应用用安安全全测测试试(SAST)分析应用源代码中
13、软件漏洞和最佳实践差距的安全测试。注释 1:静态分析可以在多种环境中执行,包括开放人员的 IDE、源代码和二进制文件。注释 2:也称为“白盒测试”。3.3 动动态态应应用用安安全全测测试试(DAST)通过行使应用功能并根据应用行为和响应检测漏洞来分析正在运行的应用的安全测试。注释 1:也称为“黑盒测试”。3.4 交交互互式式应应用用安安全全测测试试(IAST)与应用一起部署的软件组件,用于评估应用行为并检测在实际测试场景中运行的应用是否存在漏洞。3.5 运运行行时时应应用用安安全全保保护护(RASP)生产过程中目标应用里部署的安全技术,用于检测、警报和阻止攻击。2023 云安全联盟大中华区版权
14、所有13注释 1:类似于 WAF,但是安装在应用中进行检测。3.6 WEB 应应用用防防火火墙墙(WAF)通过检查 HTTP 流量来监视、警报和阻止攻击的应用防火墙。3.7 云云安安全全态态势势管管理理(CSPM)能够发现、评估和解决易受攻击的云基础设施错误配置的安全技术。3.8 云云安安全全监监控控和和合合规规监控虚拟服务器并评估数据、应用和基础架构安全风险的安全技术。3.9 威威胁胁建建模模识别和理解影响资源或资源集的威胁的方法。3.10 白白盒盒代代码码审审查查阅读源代码以识别安全问题的人工过程。3.11 软软件件交交付付流流水水线线一组用于将软件从概念交付到部署的自动化过程。3.12
15、软软件件交交付付流流水水线线(CDDP)一种符合 DevSecOps 原则以支持安全软件交付的流水线。2023 云安全联盟大中华区版权所有144.CSA DevSecOps 软软件件交交付付流流水水线线4.1 总总则则在生产环境中部署之前,每个软件都要经历概念、设计、开发、构建和测试阶段。在现代软件交付流水线中,阶段检查点的工具是高度自动化的。在流水线的每个阶段都会执行自动检查,以防质量问题流入下一阶段。软件交付流水线中涉及多个流程,包括软件开发、变更管理、配置管理和服务管理,可能会应用持续集成、持续交付和持续监控的概念。开发和运维使用的工具包括源代码控制、构建、持续集成、容器化、配置管理、编
16、排和监控。在软件开发流水线中,集成安全测试要求安全活动完全自动化,并与交付流水线中团队已经使用的本地工具和过程充分衔接。检查点所必需的但其结果需要人工干预的活动,在本文档中称为异步测试,应特别考虑,以防止在安全自动化检查点把这些异步测试遗忘。2023 云安全联盟大中华区版权所有154.2 结结构构4.2.1 总总则则支持安全的软件交付流水线被认为具有三个粒度级别:阶段触发器和检查点活动4.2.2 阶阶段段图 1-1:交付流水线中的阶段阶段表示可交付产品的不同渐进成熟度。在概念和架构设计阶段,软件成熟度较低。当软件准备好持续交付和部署时,软件趋向成熟。每个软件交付物都必须经过从设计、编码到测试的
17、各个阶段,然后才能最终部署到生产环境中。这与软件开发方法(瀑布或敏捷)无关。每个阶段都有机会嵌入适当的自动化安全控制。本文件识别了以下不同的阶段:安全设计和架构安全编码(开发者 IDE 和代码存储库)持续构建、集成和测试持续交付和部署持续监控和运行时防御 2023 云安全联盟大中华区版权所有164.2.3 触触发发器器图 1-2:交付流水线中的触发器触发器和检查点(参见图 1-2)表示在阶段内的转换。当满足触发条件时,将激活一个或多个安全活动,这些活动的结果决定是否满足检查点的预期要求。如果安全活动的结果满足预期要求,则可交付成果将转移到下一个检查点(如果检查点是最后一个,则转移到下一阶段)。
18、否则,可交付成果将被暂停而不被允许进入到下一个检查点。示例 1:构建新功能可以从练习构建威胁建模的开始,威胁建模可用于识别适用该功能的一般或特定安全控制。示例 2:开发人员的代码提交或拉取/合并请求可能会自动触发源代码扫描和代码审核过程。示例 3:将容器镜像推送到容器注册表可能会在镜像在注册表中可用之前触发漏洞扫描。有两种类型的触发器:基于变更的触发器:这些触发器由变更事件引发,例如代码推送;循环触发器:这些触发由时间事件触发,例如例行计时器;基于变更的触发器用于保护检查点的状态变更。它们通常被用于可以以基于事件的方式运行的短期安全检查。循环触发器则通常用于运行时间较长的安全检查,例如涉及批处
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DevSecOps 六大 支柱 自动化
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。