如何保持代碼安全性呢? Contrast Security的聯合創始人兼首席技術官Jeff Williams解釋了為什么必須要重新設計安全性、DevSecOps為什么如此重要,以及如何在應用程序中避免嚴重風險。
Jeff Williams
安全性是當今最熱門的話題之一,雖然目前沒有發生嚴重的事故,但這并不一定是件好事。我們應該重塑安全性嗎?
Jeff Williams: 我們必須重塑安全性。我們一直在做同樣的單一的測試,重量級的進程已經進行20年了,但在基本的阻塞和處理上仍然不太理想,更不用說高級的威脅了。
去年DevOps的頂級影響者Greg Bledsoe表示,DevOps的最新趨勢是實現DevSecOps。你同意他的說法嗎?
Jeff Williams: DevSecOps是一個關鍵的趨勢,它為我們提供了一個以非常基本的方式重新連接軟件開發的機會。DevSecOps不僅僅是采用現有的安全措施,更將它們推到開發和操作之間。
相反,我認為我們必須重新考慮安全性的工作,使其與DevOps組織兼容。從本質上說,我們需要以普通的DevOps項目可以消耗安全性的方式來重新安裝安全工作,并提供很好的結果……,而無需在關鍵路徑上找到安全專家。
組織是否做了足夠的工作來保護自己免受數據威脅?
Jeff Williams: 沒有,幾乎每一個存在的應用程序都至少包含了一個OWASP十大漏洞,15年來基本沒有改變。此外,基本上沒有web應用程序和api可以檢測到何時被攻擊,或者采取行動阻止這些攻擊。
事實上,大多數應用程序都需要花幾天或者幾周的時間來重寫、重新測試和重新部署。但在新漏洞發布后的幾個小時內新攻擊就開始運行了,這是一個不接受曝光的窗口。上個月發布的Struts2漏洞就是一個很好的例子。
我們能做什么?你是否有一些技巧或教訓?
Jeff Williams: 首先,要知道代碼和組件在哪里運行。其次,關注一些最重要的風險,并確保將它們從應用程序中除去。我推薦使用IAST技術,簡單準確。第三,確保所有應用程序在運行時都具有保護。否則,無法了解攻擊是如何進行的,也無法對新的攻擊作出響應。
DevOps的方向在哪里,如何利用它來獲取優勢?
Jeff Williams: DevOps正在接管軟件開發。 大多數組織已經在他們的“DevOps之旅”中了。 我認為關于DevOps的關鍵是要保持正確道路并為客戶提供價值。 DevOps為安全性提供了堅實的基礎。
人們應該怎樣了解網絡安全?
Jeff Williams: 大多數人會非常驚訝于我們使用的軟件是多么的脆弱。平均每個應用程序有26.8個嚴重的漏洞。我認為其中有一到兩個會涉及到安全性,這確實是一個疏忽。
關于網絡安全的最大誤解是什么?
Jeff Williams: 我認為也許最大的誤解是對黑客攻擊的追捧。最好的安全研究人員是能夠像犯罪實驗室一樣快速和科學地評估應用程序,并找到漏洞假設的條件的人。
采用安全框架有什么好處?
Jeff Williams: 安全框架就像NIST CSF一樣,幫助組織確保他們在最高級別的安全架構中沒有大的差距。 您可以使用框架來了解您所擁有的產品、過程和其他防御的覆蓋率。
這些框架的危險在于細節。 您可能會認為靜態分析工具可以很好地覆蓋框架的應用程序安全部分。 但是,無法看到靜態工具在其可以找到的漏洞的類型上受到限制。