应用系统安全系列在DevOps中达成安全性-togsscomtw.PDFVIP

GSS 資安電子報 第 0134 期 / 發刊日期：2016 年 11 月 應用系統安全系列：在 DevOps 中達成安全性 The AppSec How-to: Achieving Security in DevOps 資料來源: Checkmarx 翻譯整理: 叡揚資訊 資安事業處 在持續部署 (CD ，Continuous Deployment) 環境中，每 5 分鐘就需要發布一項新功能、擴充項目或 錯誤修復持續部署，您應該如何整合安全性呢？ 在步調快速的環境之中，大家已不想用需要冗長環境設定、調整及學習的傳統資安檢測工具。然而， 只靠開發人員的安全程式設計（Secure coding ）仍不足夠。 安全程式設計需要新方法，其中，資安工具可成為開發環境的一部分 – 並減少其他不必要的負擔。透 過與開發團隊協同作業、瞭解其需要與需求，您即可在數分鐘內為安全部署做好準備。 DevOps 整體來說是什麼？ DevOps 是一種持續部署流程，它會在很短的時間，經常部署小功能及錯誤修正。做為一種嶄新的開 發方法，DevOps 並不僅限於年輕的新創公司。像是 Facebook 、Netflix 、Etsy 、LinkedIn 及 Twitter 等無數的大企業均已採用 DevOps 。嚴格遵守 DevOps 模型的 Amazon ，據說在 1 小時內即有超過 1,000 個部署。1 傳統vs 破壞：DevOps 環境中的網路應用程式 傳統的 Web 應用程式安全檢測，是否能融入破壞性的DevOps 環境中呢？讓我們來審視一下常見的 Web 應用程式資安檢測工具： ▓ 滲透測試。 一種最有價值的安全性測試方法，但有個與生俱來的問題：費時。滲透測試不論是 在內部執行或由協力廠商執行，都需要耗費數天的時間來測試應用程式，然後再花些時間才能得 出調查結果。在最後呈現調查結果時，還需要花時間分析結果、集合受影響的開發小組，然後排 定工作的優先順序。經歷為期三周的評估循環，包含兩天的後續追蹤分析，及兩週的時間將問題 併入開發流程內進行修正後，大型專案通常會出現一份 300 頁的調查結果報告。 1 /AmazonWebServices/advanced-topics-session-1-continuous-deploymentpracticesonaws　 台北總公司：10461 台北市中山區德惠街 9 號 5 樓 TEL ︰(02) 2586-7890 FAX ：(02) 2586-8787 高雄辦公室︰80453 高雄市明華路 317 號 6 樓 TEL ︰(07) 586-6195 海外據點：上海、北京 營業範圍：兩岸三地及日本 .tw 1 GSS 資安電子報 第 0134 期 / 發刊日期：2016 年 11 月 ▓ 網頁應用程式防火牆 (WAF) 。WAF 需要調整與學習其所要保護的應用程式。就變動不太大的應 用程式而言，需要數小時到數天的時間進行WAF 的設定。但當應用程式不斷變動時，會發生什麼 事情呢？在此情況時，WAF 需要不斷的更改設定，對於動態程序來說不是一個有效的解決之道。 ▓ 程式碼分析。此方法就只是因太慢而壞了名聲。無論是設定時間、執行時間或分析時間– 任何要 花上數秒以上時間的方法，都無法真正整合在 DevOps 之中。 需求：新的安全軟體開發生命週期 (SDLC) 方法 解決之道為，從開發流程一開始就加入安全性。從安全性的觀點考量專案，並使安全性成為 SDLC 中 的默認流程。 下述步驟有助於您達成此目標。 步驟 1：安全計劃 請研究在開發與部署過程中，您將會遇到那些技術與流程。藉以考量其安全性面向： 1. 技術的安全性 A. 鑑定不安全的元件及架構。例如，某些組織會分析整個程式碼底層，以找出所有不安全的模式、 架構及函式庫。 B. 選擇內建安全模式的程式語言。例如，PHP 在新版本發佈前，都會公告舊版本中將要廢除的不安 全模式。同樣地，幾乎所有架構都有安全性缺口，也會針對這些缺口提供所需的修正。 2. 程式碼開發的安全性 A. 找出程式碼裡有安全性疑慮的部分。程式碼並非都需一樣的安全性。例如，您測試函式庫的安全 性絕對不如密碼更換機制、使用者驗證機制或信用卡處