開發與安全無縫協作的 DevSecOps 成功案例:微軟、威瑞森和口袋妖怪
責編:gltian |2019-10-11 16:13:27看三家不同企業如何令開發與安全團隊無縫協作:微軟、威瑞森和 Pokémon Company(口袋妖怪公司)。
開發團隊與安全團隊之間的關系總是容易引發論戰。安全團隊會在涉及數據和系統防護的問題上將開發人員視為惹麻煩的人,而開發人員則常常把安全團隊當成打斷自己工作流的人。
如果公司沒能創建開發和安全團隊之間的協作環境,沒能為安全和開發團隊樹立共同目標,那二者互相看不順眼再正常不過。缺乏為共同目標協作的文化,兩支團隊難免彼此沖突。
DevSecOps 是安全成為開發過程組成部分的一種方式。該方式要求開發人員和安全人員相互理解和尊重各自團隊的工作。成功的 DevSecOps 過程會減少兩支團隊的壓力,避免漏洞被無意間引入代碼。
本文分析的三家公司,微軟、威瑞森和口袋妖怪公司,都有各自不同的商業模式和安全需求。但三者均得益于在內部開發過程中采取了 DevSecOps 方法。
威瑞森開發者儀表板提供漏洞可見性
向云端遷移的過程中,威瑞森 IT 部門的 AppSec 團隊需要一種方法來推動安全 DevOps 操作。他們還想要在公司內部驅動企業文化的改變。應用安全 IT 總監 Manah Khalil 解釋道:
我們需要更可持續性的東西,可以幫助我們的中心化團隊構筑更大影響力,同時又不會給 IT 應用團隊增加太多負擔。
為完成這些目標,他們采用了 DevSecOps 方法,但依然需說服開發者接受這種方法。為推進此方法和培育安全文化,威瑞森創建了開發者儀表板程序。該程序將漏洞管理的技術方面與個人責任相結合,幫助將安全思維灌注到公司開發人員腦中。
開發者儀表板是對威瑞森業務應用中漏洞引入方式的集中式實時記錄。該程序監視 2,100 個程序(萬行代碼級),跟蹤記錄掃描頻率、結果和每個應用中漏洞的類型及密度。開發生命周期中漏洞引入的位置和引入者均可由此呈現。
通常,你可以測量軟件中的漏洞數量和密度,但這些東西怎么與安全文化關聯起來?你手上的儀表板太多了:有關注構建質量的,有觀測代碼質量的,有查看新構建生成、測試和部署頻率的……但這些很大程度上不過意味著待辦事項列表。我們試圖將之作為尋求改變和安全文化轉變的一種方式。
該儀表板從多個源頭拉取信息,包括資產管理、學習管理系統 (LMS)、版本控制、代碼分析、集成開發環境工具、第三方掃描工具、配置數據和 Web 及防火墻日志。Khalil 認為,我們在該開發者儀表板中打造的每一樣東西都是為了做出改變,然后量化該變動的。
此開發者儀表板能夠提供威瑞森漏洞風險的綜合視圖,就可能給業務引入的風險為開發者提供近實時反饋。還有助于為個人和公司帶來更長期性的改變。
經驗:找辦法增加能讓開發人員變得更好的自主權和機會。命令開發人員修復漏洞不是可持續的方法,僅僅短期內有所幫助。持續給予開發人員即時反饋能使他們找出提升技術的方法。
口袋妖怪公司從設計上擁抱安全,保護兒童隱私
2016 年《口袋妖怪 Go》手游的大獲成功給口袋妖怪公司同期帶來了責任問題。看到 8 億下載量,而且其中很多還是兒童下載的,該公司知道:自己不僅必須遵從歐盟《通用數據保護條例》(GDPR) 等隱私標準,還必須向憂慮的父母展現出能夠守護好孩子個人數據的可信賴感。這意味著必須創建通行整個公司的安全文化,包括開發部門。
《口袋妖怪 Go》由拆分自谷歌的 Niantic 開發。游戲運營由兩家公司共同承擔。口袋妖怪公司國際的信息安全總監兼數據保護官 John Visneski 稱:他們控制應用上執行的東西,控制一定比例的后端,我們控制《兒童在線隱私幫助法案》(COPPA) 合規相關的一點后端。
但這只是數據拼圖的一部分。不僅僅是《口袋妖怪 Go》,該公司其他應用、實體交易卡牌游戲的當面對戰、某些視頻游戲等也會收集用戶數據。
目標不是我可以說 ‘好的,我們可以收集這些’,或者 ‘不行,我們不能收集那些。’ 而是要在整個公司內樹立起安全文化。最終,員工不知不覺中就成為了隱私和安全專家。
Visneski 覺得這比簡單地讓安全充當反對者更能被公司里其他部門的人接受,參與度更高。他說:我們的安全哲學是:首先是業務促進者,然后才是安全專業人員。
我們試圖確保提出的第一個問題不是關于風險的;這不是什么威脅或花哨工具的問題。我們首先想的是公司需要什么、業務目標是什么,我們的技術團隊怎樣讓業務更有效、更高效?
這種思維方式可以防止安全人員僅僅被視為阻止業務人員做這做那的人,讓安全團隊成為業務人員想要在會議上看到,能夠幫助他們達成目標的人。
該公司啟用 Sumo Logic 就是安全成為業務促進者的一個樣例。該日志管理與分析提供商主要是為安全分析功能而引入的,但現在整個公司都在用,包括 DevOps 在內。Visneski 稱:我們的第二大用戶是在我們游戲工作室干活的那些人。這就讓我們得以將數據安全集成到全公司,切實驅動業務流程。
經驗:安全需被開發者視為驅動力和合作伙伴。如果安全團隊與開發團隊都具備 “從業務出發” 的思維方式,那他們就更有可能在開發和漏洞測試過程中協同。
共享信息、最佳實踐將微軟的開發與安全擰在一起
軟件巨頭微軟認為自己在開發與安全運營上達成了共同目標,而這一共同目標為其內部及商業軟件和服務構筑了更好的安全。
微軟的方法很簡單,建立在持續的良好培訓和溝通上。但執行該方法并不簡單。該方法的執行需要兩支團隊的認同、持續的培訓、有效溝通,以及最重要的,得到高管層的認可。
微軟 CISO Bret Arsenault 表示,最初,他們提出了安全開發生命周期,就是在盒裝產品中做威脅建模和代碼質量保障的方法論。然后,2008 年,開始做在線服務。現在,他們的安全工程團隊既做運營安全,也做服務和產品安全。而且每月都對每個團隊進行安全審查,確保安全無處不在。
這些團隊在紅區 (Red Zone) 會議上分析安全最佳實踐。Arsenault 稱:我們相互采用對方的[最佳實踐],既有技術,也有經驗和能力。
缺乏理解和糟糕的溝通會給安全和開發團隊之間的關系蒙上陰影。兩支團隊需要共享知識,需覺得能相互幫助達成共同目標。為此,微軟創建了 Strike 培訓項目。微軟云和 AI 部門安全工程副總裁 Bharat Shah 表示,改變并推動文化——改變 DNA,是通過教育和一系列行為與評估達成的。
微軟從三個角度看待該改變。首先,通過業務執行標準培訓所有員工,其中總是包含安排培訓。緊接著就是微軟所謂的 “安全地基”,讓他們能在更深層次上為所有員工解決安全問題。
第三層添加了專為所有微軟工程師設計的 Strike 培訓。這是閉門培訓,帶領微軟工程師了解攻擊者所作所為,幫助他們理解全局威脅態勢。
這些 Strike 培訓讓開發人員和工程師理解微軟安全事件背后的原因、黑客使用的技術和戰術,以及自己可用的工具。其目標是幫助他們打造一張同事與資源網,讓他們能夠用來確保安全嵌入到自己所做的每件事中。
你怎么確保你的代碼、身份、密碼和其他所有東西都做對了?我們是非常規范的。
Arsenault 將培訓視為把 IT 和安全黏合到一起的關鍵因素,但運營團隊月度審查、微軟管理和評估風險的方式,以及該風險評估如何從工程師上報至董事會和風險管理委員會,才是讓這一切有效運作的東西。
每月一次,我老板會審查安全記分卡,每張都指導并推動你認為對團隊來說重要的東西。這是一種由上至下的文化,培訓則在由下至上層面上的。
Shah 團隊中的安全保障專家查看代碼中的錯誤和缺陷,查閱所有核心審查。然后他們會將自己看出的東西轉至工程團隊其他成員,某些情況下有助于清除整理漏洞。Shah 表示,有時候,他們會把發現的東西推回工具組或編譯組,甚至推回靜態分析之類的東西里,僅僅是為了在更大的范圍里捕獲這些漏洞。
Shah 及其團隊所做的很大一部分工作是為微軟的工程師構建安全服務,讓他們能夠將安全 “融入” 他們的工程過程和系統里。
最重要的是,我們構建這些高精度的服務幫助我們的工程師做對安全。
這些服務中有一個是解決漏洞管理和掃描的。Shah 稱,Azure 上超過 90 個數據中心,幾百萬臺虛擬機。自己不可能一次掃描一臺虛擬機,所以他們構建了大規模漏洞掃描基礎設施,只要有必要,可以一天大范圍掃描兩次、三次乃至四次。這使得微軟的工程師可以快速找出并修復未打補丁的虛擬機或服務。
Shah 團隊里的工程師就像其他微軟團隊里的工程師一樣構建大規模服務。站在這個角度上說,安全變得有點令人討厭,也更能理解。再加上安全人員分享的威脅風險,工程團隊能夠明白為什么他們需要帶著安全思維開發。
經驗:安全和開發對各自所做工作相互了解越深,開發過程中他們的共情和協作就會越好。最終產品中的漏洞會更少,修復也會更快。