過(guò)去六年來(lái)，我一直在從事Veracode的項(xiàng)目管理工作。在那段時(shí)間里，我了解到很多部署AppSec策略的不同方法。通常，安全團(tuán)隊(duì)(CISO / CIO領(lǐng)導(dǎo))部署適用于開發(fā)人員和工程師的AppSec策略。然而，隨著軟件開發(fā)和發(fā)布方式的迅速變化，幾年前部署的大多數(shù)安全策略已不再為開發(fā)社區(qū)所接受。當(dāng)我們沒(méi)有快速，自動(dòng)化的安全工具可以插入SDLC時(shí)，許多應(yīng)用程序安全策略就建立起來(lái)了。現(xiàn)在，隨著團(tuán)隊(duì)轉(zhuǎn)移到DevOps和CI / CD，現(xiàn)在比以往任何時(shí)候都更重要的是重新制定新的策略，這些策略與開發(fā)人員“快速獲得良好代碼”目標(biāo)相一致，而不是違反。
基于多年來(lái)的工作經(jīng)驗(yàn)，我整理了一些在調(diào)整應(yīng)用程序安全策略時(shí)需要考慮的事項(xiàng)，具體如下：

首先實(shí)施可實(shí)行的政策
如果首次引入安全性或首次執(zhí)行安全性，那么首先要制定一些可實(shí)現(xiàn)的政策標(biāo)準(zhǔn)。不要讓一個(gè)從未做過(guò)安全措施的團(tuán)隊(duì)嘗試滿足PCI或所有OWASP要求;因?yàn)樗麄兛隙o(wú)法滿足，并在開始之前放棄。
從一個(gè)簡(jiǎn)單的政策開始：沒(méi)有高或非常高的關(guān)鍵缺陷。隨著時(shí)間的推移，開發(fā)人員在日常工作中采用安全措施將會(huì)變得更加嚴(yán)格。
不僅僅包含不允許的缺陷類型
一定要包含靜態(tài)、動(dòng)態(tài)、組合分析等類型的評(píng)估。此外，他們需要多長(zhǎng)時(shí)間才能解決找到的問(wèn)題?根據(jù)缺陷的臨界點(diǎn)增加寬限期，即需要在五天內(nèi)確定非常嚴(yán)重的缺陷;中等嚴(yán)重缺陷需要在15天內(nèi)修復(fù);低臨界缺陷不需要固定期限。
另外，增加頻率和階段的要求。他們多長(zhǎng)時(shí)間需要掃描一次，以及在哪個(gè)發(fā)展階段?這與所需的評(píng)估類型是一致的。如果要在DevOps中占有一席之地，安全性必須越來(lái)越多地向左移動(dòng)。
正確把控你的政策
開發(fā)團(tuán)隊(duì)的發(fā)布速度越來(lái)越快，在保證速度同時(shí)，還需要保證策略與開發(fā)人員在開發(fā)周期中使用的安全工具及解決方案保持一致。例如：不要求每次發(fā)布或在發(fā)布周期結(jié)束時(shí)進(jìn)行測(cè)試。在發(fā)布過(guò)程之外，將此類要求更改為季度。在每日發(fā)布周期中包含像靜態(tài)一樣的自動(dòng)化測(cè)試。另外，并非所有的應(yīng)用程序都是平等的，所以你需要為不同的應(yīng)用程序創(chuàng)建不同的需求。例如：具有IP的應(yīng)用程序是面向公眾的，具有第三方組件可能需要修復(fù)所有中等到非常嚴(yán)重的缺陷，單頁(yè)臨時(shí)營(yíng)銷網(wǎng)站可能只需要修復(fù)高/非常高的缺陷。
治理
擁有應(yīng)用程序安全策略絕對(duì)是最佳做法，但如果沒(méi)有治理，它也是無(wú)用的。要保證跟蹤政策依從性(現(xiàn)在許多工具都內(nèi)置了可以報(bào)告的策略管理器)是安全的。
此外，如果政策一直失敗，安全需要與發(fā)展合作，并進(jìn)行團(tuán)隊(duì)培訓(xùn)，如：由講師指導(dǎo)的培訓(xùn)，研討會(huì)，網(wǎng)絡(luò)研討會(huì)，電子教學(xué)，捕捉旗幟活動(dòng)。
關(guān)鍵要點(diǎn)
•開發(fā)環(huán)境正在發(fā)生變化，確保您的安全策略與他們一起工作，而不是針對(duì)他們。
•安全策略需要成為“不判斷區(qū)”。使用它們來(lái)幫助教育開發(fā)團(tuán)隊(duì)，了解他們正在努力的方向而不是批評(píng)他們的失敗。
•不要嚴(yán)格。首先制定策略，然后提升團(tuán)隊(duì)成員構(gòu)建安全代碼的negligence，并隨著時(shí)間的推移提供相應(yīng)的培訓(xùn)，從而讓他們的能力變得更強(qiáng)。