客户为什么需要这个?
漂亮的扫描仪报告不需要安全开发。企业需要它来发布数字产品、个人账户、API、移动应用程序、集成、人工智能服务和内部系统,而不会持续面临泄漏、停机、紧急返工和最后一刻发布阻塞的风险。
我们将 DevSecOps 构建为一个工作流程:具体在哪里检查代码、谁对漏洞负责、哪些缺陷阻止发布、哪些缺陷进入积压工作、团队如何看待风险、网络安全如何接收报告以及开发 - 明确的纠正规则。
安全开发基础知识
DevSecOps 并不是从购买工具开始,而是从安全 SDLC 的规则开始。团队必须了解威胁、正确存储机密、控制依赖关系、合并前审查代码、发布前测试应用程序、启动后管理漏洞,并维护开发、DevOps 和网络安全之间的责任。
Security by design
安全要求、威胁模型、访问角色、数据、集成和限制是在主动开发之前而不是发布之后确定的。
Secure coding
团队收到编码规则、代码审查、SAST、秘密扫描、危险模式控制和明确的纠正流程。
Supply chain control
SCA/OSA、依赖性分析、许可证、容器、映像和 IaC 有助于降低第三方组件的漏洞风险。
Remediation process
为漏洞指定所有者、SLA、优先级、例外或补救计划。如果没有这个,扫描仪很快就会变成噪音。
安全SDLC方案
每个阶段的安全都必须与发展相伴。下面是开发周期的实用图表,其中包含可以根据您的团队、堆栈和法规要求定制的安全环境。
想法与要求
我们记录业务目标、数据、角色、重要性、法规、152-FZ、KII(如果适用)以及日志记录要求。
建筑学
我们进行威胁建模,确定信任边界、API、秘密、集成、网络区域和 HLD/LLD 要求。
代码和审查
我们集成了安全编码、代码审查、SAST、秘密扫描、存储库规则和关键变更控制。
依赖关系
在进入发布分支之前,我们会检查库、容器、开源、许可证、CVE、基础镜像和 IaC。
装配及流水线
我们配置安全门、工件签名、秘密控制、环境隔离、日志记录和 CI/CD 权限。
测试
我们添加了 DAST、API 安全性、模糊/负面测试(如有必要)、MAST 用于移动场景和业务逻辑测试。
发布
在生产前评估风险:什么阻碍了发布,采取了什么补偿措施,谁批准例外情况。
运营
我们监控漏洞、WAF/API 事件、事故、新 CVE、补丁积压、指标并重复改进周期。
RESTART 承担什么责任?
| 客户的任务 | 我们做什么 |
|---|---|
| 了解当前开发和网络安全的成熟度 | 我们对 SDLC、存储库、CI/CD、环境、角色、工具、事件、漏洞积压和发布流程进行调查。 |
| 在不停止开发的情况下集成安全性 | 我们设计目标流程:安全门、分类规则、SLA、例外、角色、指标、报告和团队之间的交互顺序。 |
| 选择并实施 AppSec 工具 | 我们配置 SAST、SCA、DAST、秘密扫描、容器/IaC 安全、ASPM、WAF/API 保护以及与存储库、CI/CD、SIEM、ITSM 和待办事项的集成。 |
| 使漏洞易于管理 | 我们正在建立一个补救流程:优先级、所有者、截止日期、风险排除、重新检查、仪表板和管理报告。 |
| 为团队日常工作做好准备 | 我们传输法规、清单、验收标准、开发人员说明、DevOps 和网络安全,以及成熟度开发计划。 |
安全检查站
| 控制 | 我们检查什么 | 为何创业 |
|---|---|---|
| SAST | 代码错误、不安全模式、注入、访问控制、加密滥用、错误处理。 | 我们在发布之前发现缺陷并降低修复它们的成本。 |
| SCA / OSA | 脆弱的依赖项、开源、许可证、传递依赖项、过时的版本。 | 我们管理供应链风险并加快更新速度。 |
| Secret scanning | 存储库、管道和工件中的密钥、令牌、密码、证书和秘密。 | 我们防止 CI/CD 的访问泄露和泄漏。 |
| 容器和 IaC 安全 | 基础镜像、容器、Kubernetes/IaC 清单、权限、网络策略、不安全配置。 | 我们降低了应用程序周围基础设施不安全的风险。 |
| DAST / API security | 正在运行的应用程序的行为、API、授权、会话、输入数据、业务逻辑。 | 我们检查外部或内部环境中实际会受到攻击的内容。 |
| WAF 和运行时控制 | Web/API 边界、应用程序攻击、机器人、DDoS、可疑流量、虚拟补丁。 | 我们为生产提供额外的保护,同时团队消除代码中的缺陷。 |
如何不将 DevSecOps 变成刹车
AppSec 项目的主要风险是数千个没有优先权和明确所有者的发现淹没了开发。因此,我们建立了一个风险意识流程:关键漏洞和秘密阻止发布,中等缺陷收到 SLA,低缺陷进入积压,有争议的案例接受负责人的风险接受。
团队收到的不是抽象的问题列表,而是有效的操作模型:严重性、可利用性、资产关键性、所有者、截止日期、异常、重新验证和指标。这就是网络安全看到可控、开发了解规则、业务收到可预测的发布流程。
与网络安全、DevOps 和开发的沟通
DevSecOps 处于三个 RESTART 实践的交叉点:网络安全、DevOps/操作和定制开发。这使我们能够超越审计:我们可以设计流程、将检查集成到管道中、修改应用程序、设置基础设施、连接网络安全供应商并支持开发。
如果项目与个人数据、ISPD、GIS、CII 或受监管的企业级架构相关,我们从一开始就会考虑到这些要求。 RESTART 获得俄罗斯 FSTEC 的许可,并开发 DevSecOps 作为该集团许可的网络安全实践的一部分。
应用安全合作伙伴技术
AppSec 和 DevSecOps 工具应该帮助团队更快地发布安全代码,而不是成为官僚机构的一个单独层。 RESTART 为您的开发堆栈、管道、存储库、容器、Web/API 边界、网络安全要求和团队成熟度选择并实施合作伙伴技术:从 SAST、SCA 和秘密扫描到 DAST、WAF、VM、ASPM 和补救控制。
AppSec
ASPM, SAST, SCA/OSA, MAST, AI Security, App Shielding
Positive Technologies
VM、SIEM、AppSec、NDR、WAF、网络弹性
ServicePipe
AntiDDoS、机器人防护、云 WAF、Web/API 防护
UserGate
NGFW, SUMMA, SIEM, LogAn, Client, SecaaS
合作伙伴被列为解决方案类的技术骨干。产品的具体构成、版本、许可证、证书和交付条件均在项目前确定。
客户得到什么?
- 当前 SDLC、管道、存储库、角色和安全工具的地图;
- 具有安全门、SLA、风险接受和指标的目标 DevSecOps 模型;
- 配置检查 SAST、SCA、DAST、秘密扫描、容器/IaC 安全性以及客户堆栈的其他控制;
- 与 CI/CD、待办事项、ITSM、SIEM/SOAR 和管理报告集成;
- 分类、优先级和修复规则,易于开发、DevOps 和网络安全理解;
- 在不突然停止产品团队的情况下开发 AppSec 成熟度的路线图。
第一步实践
最佳的起点是 DevSecOps 和 AppSec 环境的诊断。在 1-2 个工作会话中,您可以了解哪些应用程序和 API 至关重要、发布过程如何工作、已有哪些工具、秘密存储在哪里、如何处理漏洞以及首先需要哪些安全门。
诊断后,客户会收到一个现实的路线图:快速改进、试点管道、工具列表、角色、指标、实施顺序和团队组成。
常见问题
是否可以从一个应用程序开始?
是的。通常,最好的开始是在一个关键应用程序或 API 上进行试点,您可以在其中测试安全门、分类和管道集成。
我需要更改整个 CI/CD 吗?
并非总是如此。通常我们将控制构建到现有流程中,并逐渐进行更改:存储库、程序集、环境、角色和发布规则。
如果您已经有扫描仪该怎么办?
我们检查设置的质量、噪音、覆盖范围、阻止规则、SLA 修复、所有权以及与待办事项的连接。通常,价值不是来自新工具,而是来自正确的流程。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
