问题描述
本问题涉及一个较为广泛的主题,旨在讨论关于软件安全测试在开发流程中的应用。提问者表示在他们的公司(包括以往的公司)中,存在将不安全的软件发布到生产环境的问题,无论是移动端、Web、API、内部、外部、关键还是非关键的应用和系统。为了解决这一问题,他们希望将软件安全测试自动化,纳入软件开发生命周期(SDLC)以及DevSecOps的持续集成/持续交付(CI/CD)流水线。以下是他们所面临的问题:
服务水平协议(SLA):开发团队希望在最短的时间内得到测试结果。然而,使用动态应用安全测试(DAST)或静态应用安全测试(SAST)工具在没有大量配置的情况下,很难做到这一点。
允许团队选择语言:许多团队希望能够选择适合自己项目的语言,但有时候却没有相应的静态代码支持。这可能只能通过DAST测试来弥补,或者使用不太理想的漏洞测试(pen tests)。
提问者认为需要将软件安全性“左移”,从项目初始阶段开始注重安全,而不是等到代码投入生产环境,希望能在那时检测到漏洞。自动化静态和动态测试工具,配合威胁模型,似乎是提前解决这一问题的唯一途径。然而,提问者认为“开发人员教育”是一个徒劳的举动。
问题的焦点在于,各个团队如何解决这个问题,以及他们是否意识到这是一个需要解决的问题。
解决方案
在软件开发过程中实现软件安全是至关重要的,特别是在采用DevSecOps和持续交付模型的情况下。以下是一些解决方案的方法,旨在确保软件安全性被纳入整个开发周期:
1. 设计安全要求
在开发过程开始时,确定清晰的安全要求是至关重要的。这包括与开发周期的各个阶段相对应的安全措施。与利益相关者一起定义安全需求,确保所有团队对其有清晰的了解。
2. 静态代码分析(SAST)和动态应用安全测试(DAST)
集成SAST和DAST工具到持续集成/持续交付流水线中,以便在开发早期发现漏洞。这样可以避免在应用程序进入生产环境后才开始寻找漏洞,从而减少修复的成本和影响。使用工具如SonarQube和BDD(Behavior-Driven Development)进行静态和动态安全测试,识别和修复潜在的漏洞。
3. 单元测试身份验证和已知漏洞
编写单元测试来验证身份验证、登录、密码重置等功能是否安全。这些测试应该集成到开发流程中,确保开发人员在提交代码时进行自动化测试。使用自动化工具进行已知漏洞的测试,以检测应用程序中已知的漏洞和弱点。
4. 自动化构建和部署
将构建和部署过程自动化,确保每次提交都会触发自动构建和测试过程。使用持续集成工具如Jenkins、GitLab或Travis,确保构建、测试和部署是自动化的,并且能够在集成过程中拦截失败的变更。
5. 安全代码审查和合并请求
对代码进行安全审查,确保至少有一位同事审查所有的合并请求。此外,确保代码合并到主分支之前,通过所有的自动化测试和安全扫描。
6. 周期性安全分析
定期对代码进行静态和动态的安全分析,查找潜在的漏洞和弱点。使用安全工具来分析代码,检测常见的安全问题,如XSS、SQL注入等。
7. 教育和培训
虽然开发人员教育可能不是解决方案的全部,但确实是一个重要的补充。提供开发人员关于安全最佳实践的培训,使他们能够理解和遵守安全规则。这将有助于减少潜在漏洞的产生。
以上方法的关键是将安全集成到整个开发周期中,确保开发人员和团队在整个过程中都有责任和意识,从而减少不安全代码进入生产环境的风险。同时,采用自动化测试工具可以大大提高安全测试的效率,从而在短时间内提供准确的测试结果。