在RSA大會(huì)中,“下一代應(yīng)用及IT基礎(chǔ)設(shè)施的安全管理模式”,被提升到了前所未有的高度,大會(huì)甚至專門為這個(gè)概念和方向設(shè)置議題和討論會(huì),一個(gè)新晉熱詞“DevSecOps”出現(xiàn)在大家的視野中。
什么是DevSecOps
“DevSecOps”,一種全新的安全理念與模式,從DevOps的概念延伸和演變而來(lái),其核心理念為安全是整個(gè)IT團(tuán)隊(duì)(包括開(kāi)發(fā)、運(yùn)維及安全團(tuán)隊(duì))每個(gè)人的責(zé)任,需要貫穿從開(kāi)發(fā)到運(yùn)營(yíng)整個(gè)業(yè)務(wù)生命周期的每一個(gè)環(huán)節(jié)。
看到這個(gè)概念,第一反應(yīng)是“安全運(yùn)維”,是不是新瓶裝舊酒呢?確實(shí)一直以來(lái),不論從主機(jī)安全還是到網(wǎng)絡(luò)安全,很多工作都是安全運(yùn)維的交集,既涉及到安全,同時(shí)也涉及到運(yùn)維,沒(méi)有運(yùn)維足夠的支持很多安全工作也比較難開(kāi)展。但是經(jīng)過(guò)一段時(shí)間,發(fā)現(xiàn)最初的理解實(shí)際比較片面,剛才提到的并不是真正DevSecOps所要傳達(dá)的理念,DevSecOps的出現(xiàn)是為了改變和優(yōu)化之前安全工作的一些現(xiàn)狀,比如安全測(cè)試的孤立性、滯后性、隨機(jī)性、覆蓋性、變更一致性等問(wèn)題;通過(guò)固化流程、加強(qiáng)不同人員協(xié)作,通過(guò)工具、技術(shù)手段將可以自動(dòng)化、重復(fù)性的安全工作融入到研發(fā)體系內(nèi),讓安全屬性嵌入到整條流水線。
我目前所能理解的DevSecOps
由于本人知識(shí)和經(jīng)驗(yàn)有限,對(duì)DevSecOps的理解可能只停留在比較淺顯的認(rèn)知。
目前我在工作中能真正涉及和可以應(yīng)用的有兩部分,第一塊是在資源管理,第二塊是在CI/CD這部分,監(jiān)控告警、日志分析、或者其他內(nèi)容,怎么應(yīng)用到DevSecOps中我本人還沒(méi)有很成型的思路。
資源管理這塊,我們用到的,主要是依賴于YRDCMDB系統(tǒng)“銀河”來(lái)實(shí)現(xiàn)的,CMDB里存儲(chǔ)了宜人貸的所有主機(jī)、IP、域名、集群、應(yīng)用等所有軟硬件信息,這樣在進(jìn)行安全檢查、安全掃描的時(shí)候,就可以直接調(diào)用銀河來(lái)獲取完整的信息、或者直接調(diào)用銀河來(lái)執(zhí)行一些簡(jiǎn)單的掃描任務(wù)。
宜人貸端口監(jiān)控從銀河獲取IP信息完成對(duì)應(yīng)的端口掃描。
基于資產(chǎn)管理可以更快速、準(zhǔn)確的知道新上線的域名、應(yīng)用等,從而觸發(fā)安全掃描,減少遺漏。
在主機(jī)安全方面,我們未來(lái)也打算基于CMDB來(lái)做更多的聯(lián)動(dòng),因?yàn)镃MDB本身就自帶“遠(yuǎn)程采集”和“遠(yuǎn)程執(zhí)行”的屬性。
DevSecOps中的安全自動(dòng)化測(cè)試(掃描)
當(dāng)我們談到S-SDLC的時(shí)候,總是希望安全可以更早的介入,但是隨著項(xiàng)目的增多、迭代頻率的增加,完全依賴人工測(cè)試的方式不但會(huì)壓垮安全測(cè)試人員本身,也會(huì)嚴(yán)重影響到整個(gè)軟件交付的速度,拖累整個(gè)上線周期,最終很多應(yīng)用在得不到任何安全檢查的情況下偷偷上線。
為了提升效率,可以將部分自動(dòng)化的安全檢查工作納入到CICD的流程中,并且將大部分流程自動(dòng)觸發(fā)和執(zhí)行,讓安全測(cè)試人員可以聚焦到更核心的業(yè)務(wù)和工作上,同時(shí)盡可能減少安全測(cè)試工作對(duì)軟件發(fā)布帶來(lái)的時(shí)間消耗。
代碼靜態(tài)安全檢查有商業(yè)化的解決方案比如Coverity,我們這里使用的是開(kāi)源解決方案,Sonar+FindbugSecurity,根據(jù)需求精簡(jiǎn)了規(guī)則,在持續(xù)構(gòu)建的過(guò)程中,會(huì)進(jìn)行代碼靜態(tài)安全檢查。
第二階段,當(dāng)完成功能自動(dòng)化測(cè)試后,可以進(jìn)行安全自動(dòng)化測(cè)試(掃描)。在這里我們簡(jiǎn)單封裝了開(kāi)源的漏洞掃描工具,將掃描任務(wù)、漏洞執(zhí)行描述、結(jié)果等信息通過(guò)WEB方式進(jìn)行展示,方便統(tǒng)一使用和管理。
下面這張圖是我們未來(lái)想要繼續(xù)改進(jìn)的方向,大致思路如下:
在各個(gè)業(yè)務(wù)的功能自動(dòng)化測(cè)試平臺(tái)集成安全測(cè)試用例
√ 功能測(cè)試平臺(tái)主動(dòng)調(diào)用安全測(cè)試平臺(tái)(傳入登錄操作所需的信息)
√ 安全平臺(tái)模擬登錄后,開(kāi)始進(jìn)行掃描
√ 最終將結(jié)果反饋給CI平臺(tái)
這里涉及到和功能測(cè)試自動(dòng)化團(tuán)隊(duì)的協(xié)作,對(duì)于成熟的測(cè)試團(tuán)隊(duì),讓他們來(lái)實(shí)現(xiàn)一個(gè)登錄初始化的數(shù)據(jù)并且構(gòu)造一些業(yè)務(wù)數(shù)據(jù),應(yīng)該不是很難的事情,這樣安全測(cè)試人員就不再需要去維護(hù)每個(gè)業(yè)務(wù)的登錄去構(gòu)造數(shù)據(jù)了,有了登錄和一定的業(yè)務(wù)數(shù)據(jù),安全掃描的效果也會(huì)好上很多。
用DevSecOps理念來(lái)解決第三方組件的漏洞問(wèn)題
在軟件開(kāi)發(fā)中,安全人員還經(jīng)常遇到的問(wèn)題就是來(lái)自第三方組件的安全漏洞應(yīng)急,比如今年發(fā)生的Struts2、fastjson等漏洞,都是在軟件開(kāi)發(fā)過(guò)程中引入的,這塊兒是比較好和DevSecOps相結(jié)合的。
不考慮入侵排查的因素,正常的響應(yīng)流程一般為1DAY高危漏洞爆發(fā),安全人員獲取和驗(yàn)證POC之后,在WAF中添加惡意請(qǐng)求特征,緩解風(fēng)險(xiǎn),同時(shí)推進(jìn)補(bǔ)丁升級(jí)。傳統(tǒng)的方式一般是人肉統(tǒng)計(jì)、或者通過(guò)批量命令執(zhí)行檢查線上服務(wù)器的制定目錄和文件、lsof進(jìn)程所打開(kāi)的文件等,這樣的方式,第一容易出現(xiàn)遺漏且效率低下,第二應(yīng)急結(jié)束后未來(lái)又有新的系統(tǒng)發(fā)布再次引入了該漏洞組件后,并不能及時(shí)發(fā)現(xiàn)。
這里我們引入了XRAY+統(tǒng)一發(fā)布的方式來(lái)解決這個(gè)難題。在構(gòu)建過(guò)程中,會(huì)根據(jù)漏洞庫(kù)進(jìn)掃描二進(jìn)制文件,一旦發(fā)現(xiàn)包含高危漏洞的組件被引入,可直接告警或直接阻斷發(fā)布。
XRAY的工作方式如下:
√文件HASH比對(duì)
√可對(duì)接多個(gè)漏洞庫(kù):NVD、Blackduck、Whitesource、Aqua等
√支持深度分解檢測(cè):從docker鏡像、到rpm包、war包、jar包等,層層分解,進(jìn)行掃描
甚至根據(jù)漏洞庫(kù)的修復(fù)方案,可直接對(duì)受影響版本自動(dòng)更新版本號(hào)以及解決依賴升級(jí)問(wèn)題(這個(gè)我沒(méi)有驗(yàn)證過(guò))。這里想針對(duì)docker多說(shuō)兩句,線上環(huán)境的一致性和變更管理其實(shí)很困難,我覺(jué)得docker很大的一個(gè)好處就是解決了環(huán)境一致性問(wèn)題,因?yàn)槊看味夹枰匦聵?gòu)建,從OS到組件再到應(yīng)用,無(wú)形之中也對(duì)漏洞修復(fù)工作帶來(lái)了便利性,修復(fù)效率有所提升。
每次構(gòu)建的軟件都保存在倉(cāng)庫(kù)中,可以快速篩選出使用的第三方組件,比如fastjson
而通過(guò)統(tǒng)一發(fā)布平臺(tái)和倉(cāng)庫(kù)的關(guān)聯(lián),則可以快速找到哪些項(xiàng)目包含了帶漏洞的組件,并且之前已經(jīng)被發(fā)布到線上環(huán)境,做到快速篩查。
總結(jié)
DevSecOps這個(gè)概念提出來(lái)的時(shí)間雖然不長(zhǎng),而且和以往S-SDLC的思路也有一些交集,但是卻再次定義了安全在軟件工程中的重要性以及結(jié)合方式;在敏捷思想和DevOps已經(jīng)足夠成熟的今天,相信未來(lái)會(huì)有更多思想被提煉出來(lái)、也會(huì)有更多的最佳實(shí)踐來(lái)提高安全工作的效率。最后發(fā)個(gè)招聘廣告,JAVA架構(gòu)師(風(fēng)控),詳情見(jiàn)招聘欄——宜人貸招聘,有興趣的請(qǐng)投遞到security@yirendai.com。