?譯者 | 李睿

審校 | 孫淑娟

企業(yè)不應(yīng)該期望開(kāi)發(fā)人員成為安全專家，因?yàn)榘踩皇撬麄兊谋韭毠ぷ?，也不是他們的擅長(zhǎng)的領(lǐng)域。與其相反，企業(yè)應(yīng)該讓應(yīng)用安全團(tuán)隊(duì)為開(kāi)發(fā)人員提供支持，讓他們可以訪問(wèn)安全的框架、庫(kù)和默認(rèn)設(shè)置，使最安全的選項(xiàng)成為最簡(jiǎn)單的選擇。安全護(hù)欄旨在幫助企業(yè)做到這一點(diǎn)。

可視化安全護(hù)欄將如何使企業(yè)的開(kāi)發(fā)人員和安全團(tuán)隊(duì)受益，這將幫助員工入門。本文提供了一些可以實(shí)施的基本步驟，以將安全護(hù)欄引入其應(yīng)用安全程序。

當(dāng)提供通過(guò)將安全工具無(wú)縫集成到應(yīng)用開(kāi)發(fā)工作流中來(lái)編排安全工具的安全護(hù)欄時(shí)，開(kāi)發(fā)人員有權(quán)創(chuàng)建安全代碼。他們通過(guò)保持低干擾的政策和控制來(lái)保持生產(chǎn)力，并且只報(bào)告影響很大的相關(guān)安全問(wèn)題。

采用安全護(hù)欄可以確保開(kāi)發(fā)團(tuán)隊(duì)在不需要安全團(tuán)隊(duì)積極參與的情況下快速運(yùn)行。同樣，應(yīng)用安全程序團(tuán)隊(duì)可以通過(guò)在開(kāi)發(fā)人員的工作流程中自動(dòng)化安全控制來(lái)進(jìn)行擴(kuò)展，確保執(zhí)行而不是人工執(zhí)行審查以及跟蹤錯(cuò)誤修復(fù)來(lái)擴(kuò)展。

當(dāng)控件被納入開(kāi)發(fā)過(guò)程時(shí)，開(kāi)發(fā)團(tuán)隊(duì)不太可能忽視和繞過(guò)安全性。他們不必采取額外的步驟聯(lián)系安全團(tuán)隊(duì)。安全護(hù)欄確保最快的部署路徑也是最安全的路徑。

1、如何將安全護(hù)欄帶入應(yīng)用安全程序

Netflix和Airbnb等公司承認(rèn)有必要讓開(kāi)發(fā)人員團(tuán)隊(duì)能夠構(gòu)建安全的軟件，同時(shí)為他們提供做出適當(dāng)安全決策的靈活性。這些企業(yè)和許多其他企業(yè)已經(jīng)在持續(xù)集成（CI）/持續(xù)交付（CD）中實(shí)施了安全護(hù)欄。以下一些步驟可以幫助企業(yè)開(kāi)始為開(kāi)發(fā)人員提供一致、可操作的自助式安全治理和控制。

（1）定義護(hù)欄：企業(yè)可以在開(kāi)發(fā)人員工作流程中實(shí)施許多不同類型的安全護(hù)欄。對(duì)于技術(shù)企業(yè)內(nèi)的安全團(tuán)隊(duì)來(lái)說(shuō)，從良好的安全策略開(kāi)始都是至關(guān)重要的。應(yīng)用安全團(tuán)隊(duì)已經(jīng)與開(kāi)發(fā)人員進(jìn)行交流的安全控制就是一個(gè)很好的起點(diǎn)。這些可以是定義軟件工件的所有權(quán)、遵循特定的依賴許可策略、使用內(nèi)部工件注冊(cè)表、使用或不使用特定庫(kù)、代碼審查控制等。

（2）設(shè)置范圍：并不是所有的代碼庫(kù)都是平等創(chuàng)建的，根據(jù)項(xiàng)目的業(yè)務(wù)風(fēng)險(xiǎn)和關(guān)鍵性，不同的安全護(hù)欄可能適用于不同的代碼庫(kù)。一旦知道要實(shí)施哪些安全護(hù)欄來(lái)構(gòu)建適當(dāng)?shù)陌踩?，就可以確定在哪里應(yīng)用這些安全護(hù)欄。

（3）定義觸發(fā)器：根據(jù)為其應(yīng)用防護(hù)機(jī)制的基礎(chǔ)資產(chǎn)（即代碼庫(kù)、依賴項(xiàng)、拉取請(qǐng)求、容器、EC2實(shí)例等），可以在何處以及如何使用它可能會(huì)有所不同。例如，可以在創(chuàng)建代碼存儲(chǔ)庫(kù)、合并拉取請(qǐng)求、部署容器或每天晚上作為日程安排時(shí)使用一些護(hù)欄?？梢栽谌魏芜@些事件中觸發(fā)護(hù)欄，以便開(kāi)發(fā)人員可以在適當(dāng)?shù)臅r(shí)間采取適當(dāng)?shù)男袆?dòng)。

（4）采取適當(dāng)?shù)男袆?dòng)：根據(jù)設(shè)計(jì)，護(hù)欄可以是預(yù)防性的或反應(yīng)性的，對(duì)違規(guī)行為可能采取的行動(dòng)取決于是否打算采取預(yù)防性或反應(yīng)性措施?？梢允褂梅磻?yīng)式護(hù)欄按預(yù)定義的時(shí)間表運(yùn)行，識(shí)別各種護(hù)欄的違規(guī)行為，并通知相應(yīng)的所有者。例如，每周找出未配置依賴項(xiàng)掃描和SAST工具的關(guān)鍵代碼庫(kù)，并將違規(guī)情況通知所有者。

預(yù)防性護(hù)欄實(shí)時(shí)識(shí)別違規(guī)行為，并通知開(kāi)發(fā)人員。例如，如果未在該存儲(chǔ)庫(kù)上啟用依賴掃描，則自動(dòng)對(duì)拉取請(qǐng)求進(jìn)行注釋或使構(gòu)建失敗，或者如果容器不是來(lái)自批準(zhǔn)的容器注冊(cè)表，則阻止在Kubernetes中部署容器。

（5）報(bào)告：定期報(bào)告企業(yè)對(duì)護(hù)欄的遵守情況。護(hù)欄的報(bào)告消除了許多關(guān)于這個(gè)安全問(wèn)題是否必要的非生產(chǎn)性辯論，并使安全風(fēng)險(xiǎn)二元化。決策變得與底層軟件資產(chǎn)是否滿足預(yù)期控制一樣簡(jiǎn)單，而不需要進(jìn)一步的安全策略或FUD（恐懼、不確定性和懷疑）。

2、為什么安全護(hù)欄是應(yīng)用安全程序的未來(lái)

工程和安全團(tuán)隊(duì)已經(jīng)解決了在DevOps期間實(shí)施安全的復(fù)雜問(wèn)題。企業(yè)往往缺乏安全可見(jiàn)性，開(kāi)發(fā)人員工作流中的安全檢查不足，無(wú)法以DevOps的速度擴(kuò)展應(yīng)用安全程序。安全護(hù)欄簡(jiǎn)化了關(guān)聯(lián)特定于場(chǎng)景的安全策略和控件，這些策略和控件可以在開(kāi)發(fā)人員工作流中定義和應(yīng)用。這種策略是應(yīng)用安全程序的未來(lái)，因?yàn)槠髽I(yè)必須授權(quán)開(kāi)發(fā)人員在不受安全把關(guān)影響的情況下生成安全代碼。

安全護(hù)欄是確保開(kāi)發(fā)團(tuán)隊(duì)在現(xiàn)代軟件開(kāi)發(fā)生命周期(SDLC)中采用安全策略和控制的唯一方法。這種采用消除了開(kāi)發(fā)人員與安全團(tuán)隊(duì)之間的摩擦，并確保開(kāi)發(fā)人員能夠快速且安全地開(kāi)發(fā)應(yīng)用程序。

通過(guò)應(yīng)用自動(dòng)化的安全護(hù)欄，企業(yè)可以降低安全風(fēng)險(xiǎn)，并使部署路徑盡可能安全。安全護(hù)欄讓開(kāi)發(fā)人員能夠完全自主地實(shí)現(xiàn)與時(shí)間相關(guān)的關(guān)鍵性能指標(biāo)，同時(shí)讓安全團(tuán)隊(duì)的瓶頸最小化，與此同時(shí)讓安全團(tuán)隊(duì)騰出時(shí)間將他們的知識(shí)和技能應(yīng)用于最緊迫的事項(xiàng)。

安全護(hù)欄代表了最終的安全轉(zhuǎn)變，使開(kāi)發(fā)人員能夠安全地從代碼到云平臺(tái)。借助持續(xù)集成（CI）/持續(xù)交付（CD）中預(yù)先構(gòu)建的、場(chǎng)景相關(guān)的實(shí)時(shí)安全策略和控制，企業(yè)可以影響開(kāi)發(fā)人員的行為并在軟件開(kāi)發(fā)生命周期(SDLC)中構(gòu)建安全性。

原文鏈接：https://dzone.com/articles/how-to-bring-the-power-of-security-guardrails-to-y