從歷史上看,安全在 IT 行業中一直被視為事後才考慮的問題。近年來,儘管存在引入“設計安全性”以確保產品開發時考慮到最佳實踐的壓力。
我們採訪了 Jit 了解集成安全性以及開發人員如何使用安全工具,而不僅僅是安全專業人員。
BN:您是如何涉足開發安全領域的?
DM:作為一名軟件工程師(從前),我明白安全是交付高質量軟件的關鍵部分。多年來,我投入了更多的時間和精力來研究該領域,並有機會在 CloudLock(後來被 Cisco 收購)親身體驗雲安全。在 CTO 辦公室,我對現實世界的雲安全威脅進行了深入研究,甚至是為十大無服務器安全威脅做出貢獻的研究人員之一(在無服務器起飛之前,就像現在一樣)。今天,在 Jit,我作為一名實踐開發人員、架構師和安全研究員,將多年來積累的領域專業知識帶到了一個開放且易於訪問的框架中,涵蓋了端到端安全的整個範圍。
BN:實施安全工具的主要挑戰是什麼?
DM:簡而言之,有很多。
純粹的安全工具的多樣性和數量使其成為一個非常難以駕馭的環境。不僅有從檢測到預防、代碼掃描、運行時漏洞檢測等不同類別,而且它們也可以以多種形式出現,從可執行文件和腳本到基於 API 的工具、SaaS 和開源包。然而,最大和最常見的挑戰是,這些工具中的每一個本身都是領域專業知識的世界,並且具有自己的“語言”、實現方法、接口和輸出。所有這些共同構成了一個陡峭的學習曲線,以實現當今雲原生堆棧的許多層的端到端安全覆蓋——以及漫長的“全面安全覆蓋時間”。
雖然在這種情況下,最關鍵的安全措施是有一個預定義的計劃,本質上是產品安全的北極星。這是因為即使您確實集成了所有正確的工具,但您的安全目標沒有明確定義,您永遠不會知道您是否正確管理了您的安全狀況以及您的產品安全性是否存在任何重大漏洞。
BN:團隊應該如何將安全性集成到開發過程中?
DM:將安全性嵌入到開發中應該從第一行代碼開始,並且隨著一種實踐和文化,甚至在設計和威脅建模階段之前。今天,我們的產品由很多層組成——從代碼到集成和第三方(通常稱為供應鏈)、基礎設施——具有多種運行時等等。所有這一切共同為潛在的攻擊者創造了許多切入點,其中任何一個都不容忽視。
也就是說,我們確實相信團隊可以從小處著手,然後用最小可行的安全方法進行迭代–與 MVP 類似,您不需要從第一天起就構建一個堡壘,只需一個基準計劃即可為您提供最少的控制集以涵蓋所有這些類別的主要漏洞利用。有很多非常棒的開源工具可以幫助您入門,我們的博客上有一個很好的綜述 所有開發人員都應該知道的 5 大開源安全工具(以及 很棒的談話!)
BN:您能解釋一下開源項目在網絡安全領域的作用嗎?
DM:開源安全這些年來取得了令人難以置信的發展,如今有大量的非常棒的開源安全工具——已經改變了行業的遊戲規則。來自 OWASP ZAP(最廣泛採用的 Web 應用程序掃描器–由我們自己的傑出工程師 Simon Bennetts 維護),到 Jit 選擇支持和讚助的 Gitleaks,其中包括 KICS、Prowler、Semgrep 等.
這些項目降低了進入安全領域的門檻,迄今為止,大部分安全領域已經關閉,小型和成長型公司並不總是可以訪問高級軟件套件。許多 OSS 安全工具是當今同類產品中最好的,可以很好地滿足常見需求,並提供急需的創新,以及了解什麼樣的安全體驗(類似於開發人員或用戶體驗)應該是什麼樣子,才能真正實現廣泛的應用
BN:對於擁有快節奏開發團隊的公司,您對安全的未來有何看法?
DM:那些不會的公司知道如何將安全性嵌入到高速工程組織中的本地開發人員工作流中的人將被拋在後面。沒有時間摩擦或學習曲線,需要為開發人員優化安全工具。他們需要提供清晰的輸出,而不僅僅是信息,重點是通過內置補救措施實現可操作性。我們相信,將改變遊戲規則的安全工具是那些以修復為先的心態而不僅僅是問題驅動的工具(開發人員厭倦了知道如何修復它們的長長的漏洞列表)。
此外,它的另一半是,最終隨著威脅形勢的不斷增長和不斷演變,我們將看到能夠做到這一點的安全 (dev) 工具最終將成為推動者(是的,你沒有聽錯——高速工程安全的推動者)。今天的賭注太高了,公司離重大災難只有一個拉取請求和漏洞。能夠快速交付,同時保持持續安全的工程組織將成為帶頭人。
圖片來源:mikkolem/depositphotos.com/p>