2024DevSecOps建立合规方案.docx

DeVSeCOPS建立合规方案目录前言81简介91.1 目标101.2 读者群体102评估112.1 与云服务提供商的共担责任112.2 即时评估和持续评估133心态151.1 使用价值流映射的合规性151.2 合规目标转化为安全措施184 .工具224.1 拥抱即代码as-Code模型224.2 拥抱DevSecOps方法进行测试244.3 追踪开源风险274.4 安全护栏294.5 模式和模板335 .总结35参考文献37词汇表40缩略语41支柱1：集体责任（2020.02.20发布）2支柱2：培训和流程整合支柱3：实用的实施支柱4:建立合规与发展的桥梁（2022.02.03发布）支柱5：自动化（2022.07.06发布）3支柱6：度量、监控、报告和行动1简介鉴于软件开发范式和实践的快速发展，整体安全合规活动与软件开发过程的结合已成为一项挑战。合规团队已经习惯于依靠流程和控制到位来证明（安全性）。然而，大多数认同DeVOPS观点的工程师认为证明应在代码中，而不在流程或文档内。DevSecOps实践旨在结合合规性与开发，需要安全团队和软件开发人员之间的协作（集体责任4）努力。DevSecOps模式中的合规性目标是提高应用程序或环境的整体安全性，同时减少验证系统达到安全目标及合规性的所需工作量。本文探讨的方法允许DevSecOps团队将安全性和合规性要求转化融合到开发周期中，达到以下目标： 软件开发人员可操作性 客观可度量 实用性的降低风险本文还探讨了安全和开发团队进行系统性协作的要求、方法和建议，分为三个部分，如图1所示。合规性和开发功能（特性）应考虑以下要素： 评估：一种划分和评估的方法，对运营影响最小 思维方式：关于如何把合规性设计并实施到应用程序中的思想和实践转变 工具：安全工具的不同实践，可以为合规性要求提供保证本文和图1中对利益相关者的引用有两个角色，“合规”和“开发”： “合规”被确定为对监管或行业合规标准的管理，这些标准被下发到信息安全一以及法律、风险和审计一等团队，以形成塑造组织业务运营的要求和政策。 “开发”是对应用程序的设计、配置和构建有影响的工程师和产品团队成员（包括开发人员、平台工程师、架构师和业务分析师）。开发软件工程师平台工程师测试人员业务分析师评估：L与云服务提供商共同承担责任2 .时点评估与持续评估思维方式：3 .价值流映射（VSM）4 .确定合规目标5 .将合规目标转化为安全措施工具：7 .采用“ as code "模型8 .采用DeVSeCoPS方法进行测试9 .跟踪开源风险10 .安全护栏11 .模式和模版信息安全DevSecOps 实践审计法务风险图1.连接合规与开发的框架1.1 目标本文提供了一些指导，即确保通过识别合规性目标，将它们转化成适当的安全措施，并通过将安全控制措施以自动化测量测试等方式清晰透明、易于理解地嵌入到软件开发生命周期中的关键节点，以弥合合规性与开发之间的差距。本白皮书未确定合规性目标的来源，且不比较DevSecOps的标准或指南。（说明：合规性可以来自企业内部也可以来自企业外部）1.2 读者群体本文的目标读者包括涉及安全风险、信息安全和信息技术的管理和运营岗位工作人员。包括CIS0、CIO,尤其是涉及以下职能领域的个人：自动化、DevOps,质量保证、信息安全、治理、风险管理、内部审计和合规。2评估评估通常是测量DeVSeCoPS流程和控制的成熟度和有效性的第一步。组织评估其应用程序和DeVSeCoPS应用情况的主要考虑因素是： 与云服务提供商的共担责任：确定风险转移的位置，明确云客户应在何处应用控制或寻求保障。 即时评估与持续评估：确定适当评估的方法，研究如何实现自动进行持续审查以提高调查结果的准确性。2.1与云服务提供商的共担责任在大多数应用程序的部署使用中，云环境的设计和操作都对DevOps和站点可靠性工程(SiteReliabilityEngineering)至关重要。云安全取决于基础设施，因此云安全控制和责任共担管理在DeVSeCOPS实践中势在必行。当企业将合规性目标映射到安全要求时，了解云客户在选择解决方案和技术时的责任非常关键。安全工具和解决方案必须与技术保持一致，如容器化工作负载、虚拟机、云原生平台服务的配置状态。云服务提供商(CSP)和云服务客户(CSC)应在服务级别协议(SLA)中同意并记录共同责任，这样CSC能够明确了解CSP的服务条款、优势和缺陷。CSP通常会公开提供此信息。图2中的通用模型展示了CSC和CSP之间从本地部署到SaaS的职责划分范围。本地/公有云私有云基础设施即服务平台即服务软件即服务(IaaS)(PaaS)(SaaS)操作系统虚拟网络虚拟化层服务器物理网络云服务客P(CSC)责任云服务蠢商(CSP)R壬图2混合云中的责任共担5DevSecOps活动应反映出图2中的责任共担模型。例如，提供IaaS服务的CSP可以确保堆栈较低层(例如，hypervisor及以下)的安全，而较高层(例如，网络层及以上)的安全则由CSC负责。一旦组织能够识别他们所使用的服务和不同的云部署模型，他们就可以开始考虑“下一步”的安全活动。2.1.1下一步在大多数情况下，云客户负责应用程序安全控制和云环境的管理。开发团队应该传达他们对使用云服务的应用程序的需求应该确定依赖CSP的控制、可以评估CSC要求，并将其打包加入补救的活动/迭代阶段中。如果责任属于CSP，CSC应获取第三方对CSP的评估保证，如SOC26报告或CSASTAR认证。云客户应审视CSP提供的保证，以确定控制和流程的适当性，并在需要时实施补偿控制。安全和合规职能团队应与开发团队合作，根据云部署模型准确地识别职责。安全控制和流程应该由安全和合规职能团队根据现有的组织策略、安全框架、检查表和模板周期性开展审查。如果责任属于CSP,合规团队可以审查Sc)C2报告或CSASTAR,以确定CSP采取了的适当控制措施。2.2即时评估和持续评估评估是所有组织用于理解当前控制措施和流程的成熟度和有效性的通用方法。然而，伴随着敏捷或DeVOPS方法中快速的变化和部署速度，人们对评估的频率和相关性的提出了疑问。即时评估7可能很慢，可能需要几个星期甚至几个月。从开始评估到完成报告的期间开发和部署环境可能不断变化。与此同时，即时评估可以提供一个应用程序及其基础设施安全状况的整体视图，并可以与其他活动，例如渗透测试和隐私数据审查等相结合。为应用程序和基础设施引入安全开发人员工具可以帮助对组件进行分类，以便单独审查,在开发和部署阶段就可以识别和纠正问题，这消除了对即时评估的依赖。以下工具的使用，举例说明了如何为持续评估对应用程序进行分类和扫描： 软件组成分析：识别、报告、修复和标准化高风险开源工具使用的机会。这可以在构建阶段进行应用及处理，并在即时评估之前达到合规要求。 静态分析：一个扫描源代码的弱点和漏洞的机会。这将帮助开发人员在构建阶段编写安全的代码，并对大型代码库扫描发现的问题进行补救。 基础设施即代码（IaC）分析：提供了根据云合规标准扫描代码的云构建（codedcloudbuilds）的机会。这有助于工程师在构建阶段解决云上的安全性问题，而不是依赖即时评估。 云态势管理：一种针对行业标准和指南，全面而持续地对云构建和环境进行扫描的通用方法。云态势管理甚至可以取代即时评估。要在构建时进行扫描和执行整体评估之间取得合适的平衡，取决于团队如何在不影响部署速度的情况下快速地完成完整扫描。代码扫描（例如，IaC分析）对于在构建阶段对实体（应用程序/平台/基础设施）的审查是很有效的，并且可以降低漏洞和安全弱点被写入代码的可能性。这将帮助组织实现安全左移，减少部署后的安全补救工作。然而，需要理解的是，与部署后扫描（例如，云态势管理）相比，在构建时进行扫描并不总能得到完整和全面的发现。一个说明代码扫描完整性的例子是Bridgecrew（一家IaC供应商）对其开源IaC分析工具“Checkov”的研究。Bridgecrew透露，只有大约一半的行业云安全基准控制（由互联网安全中心（CIS）推荐）在IaC分析中得到了解决（见图3）0这并非反映“Checkov”的质量，而是反映了主要CSP在构建阶段的安全问题规模以及评估的完整性。Ch9ckov1.0Checkov2.0图3.CheckovCIS基准测试覆盖率8代码扫描的分类并不能取代对即时评估的需求；然而，这确实减少了对即时评估的依赖。组织现在可以在构建时解决问题，比在部署到生产环境前评估中发现的严重安全问题更为有利。当组织应用方法来执行持续的DeVSeCoPS评估时，可以利用即时评估提供完整的、统一的、完全集成的审查，同时知道在构建过程中已经解决了大量安全问题。3心态组织可以通过工具直接快速地解决风险，但是他们很容易忽略适当的心态（思维模式）在DeVSeCOPS转型中的重要性。心态是一种方法，以一组活动的形式由安全和产品的利益相关方（例如，软件开发人员）所采用，通常可以使两个孤立的团队更紧密地联系在一起。有助于弥合安全和软件开发之间价值冲突的关键考虑因素有： 价值流映射（VSM）：确定团队、交付时间和处理时间，以了解工作流如何从想法变成客户输出。这提供了一个通过手动或自动化来识别安全参与的机会。 将合规目标转换为安全措施：如何将目标打包成供开发人员使用的安全措施。 流水线监控：在不妨碍生产力的情况下对开发人员活动的控制措施进行监控和维护。3.1 使用价值流映射的合规性虽然合规和开发活动可以在它们的安全目标上保持一致，但传统的合规方式一一冗长的即时评估一严重依赖于文档。传统方式与DevSecOps的快速、敏捷工作和持续交付的特性不能很好匹配。因此，在考虑应用安全控制之前，了解工作在应用程序开发生命周期中的工作流程非常重要。价值流映射（VSM）是一项用于理解应用程序上下文的有用技术。如图4所示，VSM可以包括以下组件： 利益相关方：负责的团队和个人。 活动：在某阶段执行的通用活动。 交付时间：从一个工序接收一件工作到把该工作交给下一个下游工序的时间。 处理时间：指完成一项工作所需的时间，前提是执行这项工作的人拥有完成这项工作所需的所有必要信息和资源，并且可以不间断地工作。 准确完成百分比（C/A）：上游流程接收到可以使用且无需返工的内容的百分比。顾客© ©发布规划与估计设计与分析开发与开发测试（包括测试自动化）设计批准0展示和用户验收成果变更批准图4.VSM示意9通过了解VSM过程中应用程序的构建和部署活动，组织可以开始识别和规划适当的安全活动和工具。DeVSeCoPS是一种共同承担的责任】。，建立在将安全实践集成到整个构建阶段和部署流水线的概念之上（如下图5所示）。安全开发生命周期：政策、标准、控制和最佳实践虽然这个图像给人种从个阶段到另个阶段的线性流动的感觉，但各阶段之间存在双向反馈机制阶段触发叁安全活动安全设计和架构应用或功能设计威胁建模安全基线和评估控制安全编码代码拉取、克隆或提交SAST薛态应用安全IDE插件集成SASTSCA软件组成分源代码审查