DevOps多年来一直在帮助团队接受自动化并实现规模,然而在这种方法中,安全性可能会被降级。直接将凭据/密码硬编码到应用程序中这样的做法可以使编码更容易、更快,但也有风险,而且很快就会失控。随着许多组织不断扩展他们的云投资组合,从手机金宝搏188而数据中心到虚拟环境等,对代码的持续监控变得比以往任何时候都更加关键。
正如最近的攻击所证明的那样,开发人员环境已经受到威胁参与者的关注。太阳风的黑客攻击凸显了供应链如何容易受到渗透到连接生态系统的威胁。[1]在这种情况下,威胁行为者获得了对SolarWinds网络的未经授权的访问,并导致该公司在不知不觉中向其客户发送了带有被黑客入侵的软件代码的更新。这次攻击显示了来自有毒源头的巨大挑战,以及对该软件的信任。
但是,如果安全被整合到数字基础设施的发展中呢?输入:DevSecOps。
DevSecOps(一种安全文化的方法dev发展,证券交易委员会urity,人事处eration年代它强调安全测试和评估,旨在解决传统上直到软件向公众推出才会发现的安全问题。它补充了像Equinix这样的许多组织对安全软件开发生命周期(SSDLC)的推动,使开发人员对他们的应用程序拥有更多的所有权,更早地发现安全问题,并降低缓解它们的成本。这降低了内部网络最终在交付产品中感染的易感性。
“左移”——这个概念代表了安全参与应该如何在过程的早期发生,早在设计阶段——有助于在涉众之间建立信任。它也可以是遵守行业标准(如国家标准与技术研究所(NIST))的关键因素。[2]
开发者和软件:未来
今天的企业——无论是信息服务、零售还是制造业——都以某种方式、形式或形式作为数字提供商运营,这要求他们的运营采用数字优先战略。基础设施已准备就绪开发人员主导和软件定义使组织能够高效地部署IT基础设施,同时推进DevOps支持。的2023年全球互连指数(GXI)还提供了软件定义的基础设施作为适应技术进步、经济不确定性和组织将在未来几年面临的安全影响的关键驱动力的见解。
有些人认为安全是创新和应用程序开发的障碍,但时代在变化——不可否认,不断变化的环境要求安全处于最前沿,而不是事后才考虑。
开发人员实际上有责任确保他们构建和维护的软件的安全,因此要对此负责。然而,安全团队也有责任为开发人员提供指导,保护他们的软件。”
组织并不是唯一可以“左移”的组织。随着威胁形势的发展,网络犯罪分子也纷纷效仿,将开发人员及其构建系统作为攻击基础设施即代码(IaC)部署、Kubernetes环境和供应链的入口。
那么,谁负责安全呢?对于终端用户来说,实际情况是,应用程序/产品的内置安全措施只能让他们做这么多。这给了开发人员事实上的责任,以确保他们构建和维护的软件的安全,从而对其负责。然而,安全团队还负责为开发人员提供保护软件的指导。
它应该嵌入到这样一种文化中:开发人员将自己视为安全解决方案的一部分,在编码实践中投入更多的精力。这种文化转变应该意味着营造一个允许他们这样做的环境。这一切都归结为团队合作;毕竟,我们都想要安全可靠的产品。
Equinix的安全软件开发生命周期(SSDLC
在Equinix持续的协同努力中,我们正在通过一个名为NEXTcode的项目推动开发人员、运营和安全团队之间的协作,这是一个全公司范围内的努力,将安全性纳入软件开发生命周期及其基础设施的每个阶段,为扫描和补救提供必要的安全工具,并在需要时提供安全编码培训、支持和指导。
DevOps中的安全性
NEXTcode开发人员安全认证计划旨在培训并使开发人员能够使用安全编码实践,并建立一个持续的教育和实践培训平台,以支持我们的开发人员社区的需求。本课程的第一阶段侧重于OWASP十大安全风险,它提供了对当今web应用程序面临的最关键安全风险的更深入的理解,其次是安全编码和代码存储库最佳实践。
此外,我们的全球网络安全意识计划允许开发人员利用现有的资源和培训来解决安全编码概念和实践,包括代码审查/扫描和捕获标志(CTF)游戏。
我们认为,在应用程序开发、遵守标准和实践安全基础方面进行安全学科培训是必要的,例如:
- 理解共享责任模型
- 采用最小特权原则
- 如果出现代码问题,具备纠正这些问题的知识
- 理解开发者对开源代码的责任
我们继续在创新和保护我们的基础设施方面取得长足进步,以确保我们为客户提供最可靠和可扩展的服务,这包括装备开发人员和安全团队,使他们成为构建软件和安全定义产品的关键人物。向SSDLC的转变对于支持Platform Equinix和与企业客户合作安全地推动其数字基础设施项目非常重要。
有关构建面向未来的数字基础设施的更多信息,请参阅Platform Equinix Vision Paper (PEVP).
关于组织如何防范安全风险和保护其数字基础设施不受攻击,我们将在我们的博客文章中讨论更多零信任安全,零接触安全.
感谢Alex Armstrong为Equinix开发人员安全认证计划提供急需的见解。
[1]TechTarget的。”太阳风黑客解释:你需要知道的一切2022年6月。
[2]国家标准与技术研究所"资讯保安测试及评估技术指南2008年9月。
订阅Equinix博客