軟體開發安全的觀念持續演進,從SDLC到SSDLC (Secure Software Development Life Cycle),到容器上雲帶動了安全左移,對開發團隊而言,不安全的企業軟體造成的問題造成的傷害遠大於功能不足。
iThome 2024 CIO大調查就發現,導入DevSecOps與AIOps的企業比去年多了一倍。軟體開發與安全設計必須雙線並進,才能兼具品質與安全性,進而降低企業的資安風險,也正因為如此,果核數位與OpenText透過專業服務與完整工具的結合,為企業提供落實DevSecOps的助力。
串連生態圈、整合AI的ValueEdge DevSecOps
OpenText的自動化測試工具在台灣擁有8成市佔率,關鍵就於OpenText的策略並非強迫團隊統一開發工具,而是串連整體生態圈。同樣的策略,也展現在以SaaS服務形式提供的ValueEdge DevSecOps全方位框架。
ValueEdge DevSecOps的功能模組涵蓋策略制訂、敏捷開發和DevOps、品質檢測、壓力測試、功能測試、版本交付,以及新增的資訊安全,這些功能模組皆具備AI能力,而且將所有DevSecOps資料全部統合於ValueEdge Insights儀表板。
OpenText資深顧問李建宏指出,DevOps和DevSecOps都是冗長工具鏈的整合過程,開發團隊在每個程序會有各自偏好的工具,但這些工具必須經過良好整合才能發揮效益,這也正是ValueEdge的價值,全方位整合各式各樣的第三方工具如版控和CI Server,從開源軟體到企業級工具皆涵蓋在內。
舉例來說,以ValueEdge整合開發人員的CI Pipeline,可以將CI Server的資訊直接帶入DevSecOps平台,在ValueEdge介面就能直接檢視功能測試或資安掃描測試的結果。
OpenText資深顧問 李建宏
此外,由於DevOps和DevSecOps需要不同專業人士的參與,ValueEdge內建超過50種儀表板的樣板可直接套用,滿足開發、資安等不同專家的獨特需求,快速掌握組織內的運作及需要加強之處。
新增的ValueEdge Security模組屬於Fortify生態圈的一環,提供靜態掃描、動態掃描,以及根據組織資安政策的客製化掃描,廣泛支援全球主要的安全規範及超過30種開發語言。更重要的是,ValueEdge Security與CI/CD生態圈有廣泛整合,確保對DevSecOps的落實。
至於全面落實的AI能力,OpenText的AI機器人Aviator採用口語對話提供協助的智慧助理,包括 AI協助將開發功能自動生成 User Story, User Story 自動生成手動測試案例及步驟, 再自動生成口語化自動化測試腳本;或是分析Defect ,協助開發人員判斷功能失敗的原因、影響及建議如何修改。藉由OpenText的AI機器人Aviator協助, 讓開發測試工作事半功倍!
企業安全威脅分析及對應方法論
資安問題層出不窮,然而面對未知的問題才是最難以應付的事情,因此可以透過威脅建模,讓大家即早識別威脅,並進行妥善的風險處置,更容易使企業提升到期望的資安強度。
果核數位資安研發部技術副理蔡龍佑表示,威脅建模沒有標準答案,每家公司的問題和承受能力各不相同,重點在於企業必須討論出需要優先處理的問題,據此建立基準線,定義屬於企業的信任邊界(Trust boundary),再參考方法論來落實。
果核數位資安研發部技術副理 蔡龍佑
然後再參考使用威脅建模的方法論,如:stride, pasta等。一般而言第一個步驟是識別資源與元件,例如:資產、參與者、入口點、元件、使用案例、信任級別。接下來,第二個步驟是發掘威脅並製表;第三個步建風險矩陣(Risk Matrix),並根據針對每一項目進行討論規劃設計適當的風險處理機制,最後就是定期追蹤問題,判斷威脅是否已充分緩解。而應用程式本身除了導入安全檢測如:原始碼檢測、網站弱點掃描、滲透測試等。也可以參考OWASP 的ASVS強化應用程式,降低上線前安全檢測造成的弱點修補負擔。
蔡龍佑副理也分享了兩個常見的威脅情境。首先是小型製造業,先前由於疫情而採取遠端工作,但也因此讓防線大開而不自知,導致駭客由公司滲透到工廠、由IT入侵到OT(Operation Technology)的狀況。
另一個情境發生在金融業,由於核心銀行系統是重中之重,主管機關及相關法規對上雲有所規範,銀行通常先從網路廣告等小型專案試行上雲,但忽略了對外的雲端服務也擴大了銀行的風險邊界;此外,提供給協力廠商的帳密也是常見破口。
組織可以提升威脅建模會議成員組成的多元化,因每個人各有專業,儘可能收集大家的想法和情境,包括各種匪夷所思的用法。威脅建模的目的是看到問題及風險,而非立刻解決,因為有些問題未必能解決,唯有先確定企業想要保護的標的,才能將有限的資源做合理的配置。
多雲安全態勢與雲DevOps安全管理
雲端安全的問題在於雲上的資產都可能被設定成公開,例如:儲存體(Object Storage)、容器、Kubernetes;此外,雲端帳戶權限過大或未啟用多因素驗證亦是常見問題。據統計,55%的的雲端資料外洩事件是人為原因,問題多半出在配置錯誤導致破口,而非駭客高超的入侵手法。
果核數位資深雲端架構師陳學耕指出,雲環境安全管理的困境來自多帳戶,例如:測試、開發就是不同帳戶,每個帳戶都是各自獨立的雲資源,連使用的網路(VPC)也是隔離的。橘子集團的現況就是最佳例證,由於集團的子公司、分公司眾多,獨立運營環境超過10個,使用的公有雲更橫跨AWS、Azure和GCP。
果核數位資深雲端架構師 陳學耕
身為橘子集團的成員,兼具使用者和服務商的雙重身分,果核數位根據上述經驗歸納出多雲安全運營環境的三大管理目標,首先是持續性安全監控,也就是將安全運營中心(SOC)延伸到雲端進行監看;其次是持續性合規管理,例如:確保雲環境符合ISO 27001;再則是確保操作安全基準,例如:遵循每家公有雲所提供的配置建議(Best Practices)。
安全工具必須提供從開發到運行(Code to Cloud)的保護,果核數位身為SOC服務商,在雲SOC資安監控採取了雲原生應用程式防護平台(CNAPP)來偵測分析雲環境的配置錯誤與異常活動。果核雲地整合SOC中心提供7x24資安威脅監控,運營優勢在於單一雲地資安監控中心、跨多雲資安監控、雲地交叉關聯分析。
陳學耕表示,雲DevSecOps安全管理必須兼顧八大要點,包括持續監控、雲平台安全配置、IaC安全、軟體組成安全分析、容器安全、Repo安全、金鑰安全、弱點管理。果核數位基於八大要點,推出雲端資安健診與合規性檢視服務,確保以DevOps開發的現代化應用程式或雲原生應用程式從開發到運行的安全性。
熱門新聞
2024-10-27
2024-10-23
2024-10-27