汽车行业不断加快数字化转型进程,在促进业务增长与升级的同时,使得企业不得不直面与正视更加严厉的合规监管要求、更加严峻的应用安全现状、更加迫切的信息安全诉求。这样的形势使得软件安全不再能仅靠安全产品或检测工具保证,而需要更加彻底更加坚决的解决方案。
悬镜安全受AutoCS 2022智能汽车信息安全大会组委会特别邀请,联合策划了“AutoCS Live”系列第三期,并已于5月19日上线。悬镜安全技术合伙人李浩以“车企环境下SDL开发安全建设实践”为主题,分享了悬镜经验和悬镜方案,激起直播间和用户群的热烈讨论。在最后的QA环节,针对车企用户所关切的安全问题,李浩一一做了专业且细致的答复。
悬镜安全结合自身DevSecOps敏捷安全解决方案在车企行业的创新实践,提出建设SDL体系的解决方案;以安全左移为起点,软件开发全生命周期管控为途径,依托完备的安全开发流程体系,借助相辅相成的工具链条,帮助企业明确软件开发各个阶段的最佳实践;为企业依据自身实际建设SDL体系,提供最大程度上的安全开发借鉴与参考,通过理解SDL体系建设的价值“制高点”,切实帮助车企提升综合防护的能力。
Q&A内容
问:IAST灰盒扫描工具是否更适用于Web应用,无法在车联网场景下使用?
答:车联网场景下,如果是终端侧的车载应用,那就不在灰盒技术覆盖的范围。但是对于车载应用交互云端的后端服务应用,灰盒是覆盖的,并且经常发生的安全事故也集中在服务端,这个场景对灰盒更为适合。另外,灰盒扫描不只针对Web应用,在导出接口、应用中台以及微服务等方面是可以做到覆盖的,也是灰盒相对于漏扫工具和渗透测试更有优势的地方,能够深入到业务应用架构。
问:在具体落地DevSecOps或开展安全活动中,有哪些相关工具可以推荐?
答:在实践DevSecOps时,有成熟的工具链可以选择引入。如果在建设前期,在更关注效果和实施成本的前提下,优先强化安全测试能力,推荐使用灰盒,因为它覆盖面广且产生的效果是比较明显的;如果优先落地安全体系,推荐使用“咨询+平台”的方式,可固定体系流程并整合现有工具链。
问:应用SDL时应该怎么做风险评估并确定漏洞修复的优先级,从而将有限的资源进行合理分配?
答:我们聚焦风险管理时,往往会发现,造成实际危害风险的往往就在应用本身的漏洞,优先修复的风险范围可以锁定到应用层面发现的风险。不同的安全检测工具,原理不同且有自己的评判标准,不同的阶段也有应用不完整带来的资源浪费。因此,在做风险管理时,我们可以优先聚焦到介入应用较为完整阶段(如UAT、上线后)和漏洞检出精准度高的工具,筛选真实运行中发现且可产生危害的漏洞。这样既可以减少在验证漏洞环节的人员投入成本,又能聚焦在真实漏洞上,进行预先的修复工作。
问:SDL与DevSecOps有什么区别
答:传统SDL过去常对应的是瀑布开发模式,但是微软在后续对SDL概念进行更新迭代,在这个体系框架中加入了敏捷的概念。这里对比的主要是传统的SDL流程,SDL是对安全开发的建设,指导每个阶段开展相应的安全活动,强调人、文档、制度的推进。DevSecOps更多侧重于将安全形成自动化方案并融入每个阶段,打破开发和运维的割裂,在保证原有流程的基础上,人员尽可能少参与。SDL和DevSecOps本质上都是引导安全能力的提升。当然两者也是有区别的,比如推动方式,DevSecOps靠自动化工具去推动,安全接入成本较低、敏捷性较高,且不与研发侧产生较大的冲突,因为DevSecOps工具的引入是无侵入式。传统的SDL体系方案落地要靠人为推动,相对笨重,难以落地。
问:如何确保在开发过程中主动解决安全问题的结构化方法?
答:在治理层面,首先考虑进行风险面分析,关注应用本身风险面和开发交付过程的风险面。因此,将开发过程的各个阶段切分开,从各个阶段分析,介入适合的安全技术能力,考虑对整体应用风险的覆盖度。通过总结,拉通每个阶段,分析整个风险面覆盖情况、安全流程管控度,查漏补缺。进行这样一个安全问题的发现和梳理工作之后,开展风险治理工作,优先聚焦精准且真实存在的风险进行处置。安全问题是一个不断平衡的过程,需要找到最合适的方式,用塔防式的方式往上搭建安全架构,这样才能较为明显地解决安全问题。
问:DevSecOps与SDL在适用性上有哪些区别?
答:SDL和DevSecOps两者适用于不同企业不同业务,先提前分析自身企业IT的建设程度。落地DevSecOps,需要比较成熟或者通畅的CI/CD流程,即自动化的敏捷发布流程,可通过考察,明确是否引入商业化的DevOps平台或者自建了CI/CD流程,拥有这样的条件再去实施,相对就比较容易。但并不是说这样的方法论不适合SDL,DevSecOps技术落地主要依赖工具链,其中的工具链技术也可以应用于SDL过程。这样的好处在于,如果针对传统的业务发布,用DevSecOps思维指导工具链的落地,随着企业产研效能的提升,未来开发模式也会逐渐转型为DevOps,此时再做安全的迁移成本就会比较低,甚至能做到无缝切换。所以这也是我们一直推崇的,在企业进行安全建设的时候,把SDL和DevSecOps结合,既能适应当前传统的业务发布模式,又能适应未来敏捷迁移的过程。
问:传统车企落地SDL有什么优势?
答:传统车企的安全储备是比较强的,逻辑是比较严谨的,所以考虑事情会比较细致。SDL在落地时,他们首先会认同流水线质量管控的机制,在这个前提下只要新技术对质量管理有提升且自动化程度高,接受度相对就比较高。之前有部分车企实践过SDL,踩过坑,其实也明白SDL的落地会稍显笨重,但是他们清楚应用安全开发建设的意义,所以也仍然尝试去提升。DevSecOps工具链方案,很好地解决了落地的问题,且对他们过往的安全建设方案有很大提升。
问:国内外安全产品对比的优劣势有哪些?
答:产品方面,整体来看,国外是做得比较早,如新思,产品支持的语言会相对丰富。但是单论单款工具比如灰盒,在国内也商业化落地了很多年,两三年前也许在产品技术语言支持上存在差距,但随着这些年的沉淀,当下产品的技术成熟度、语言覆盖、商业模式、信创兼容、售后等技术服务,尤其是具体落地时方案执行的路线,都更为适应国内企业的习惯。并且,即便聚焦产品参数能力,国内基本也和国外靠齐,甚至还有自己的创新,比如探针能力既覆盖检测又能应用在RASP技术中去防御外部威胁,还有国内比较关注的数据安全、API安全,OSS也可以一并解决,所以在发展路线上,国内慢慢产生一些差异性优势。
嘉宾介绍
李浩,悬镜安全技术合伙人,拥有9年多的网络安全应用全栈技术开发、应用逆向、安全开发咨询及安全培训经验。已获得CISP注册信息安全工程师、等保建设专业人员等资质,并拥有多项原创发明专利授权,曾获得“2020安在网安强中强大赛”冠军荣誉。长期深度参与悬镜DevSecOps智适应威胁管理解决方案的研究工作。目前,主要负责悬镜安全华南区全线产品解决方案咨询、售前支持、产品交付及项目管理等工作。
关于悬镜安全
悬镜安全,由北京大学网络安全技术研究团队“XMIRROR”于2014年创立。作为业界DevSecOps敏捷安全领导者,悬镜专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系。该体系主要涵盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,覆盖DevSecOps、软件供应链安全、云原生安全等关键应用场景,作为新一代敏捷安全框架,已成功帮助金融电商、泛互联网、车联网、电信运营商、能源电力等行业上千家企业构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn
