“讓我們從頭開始，從一個很好的地方開始。”

電影《音樂之聲》中瑪利亞的建議同樣適用于構(gòu)建有效的應(yīng)用安全程序。這是充滿障礙的道路，對于尚未側(cè)重安全性的企業(yè)來說，這可能非常遙遠且復(fù)雜，甚至還無法開始。

其他企業(yè)則可能愿意部署前面的步驟，這是一件好事。Manicode Security公司聯(lián)合創(chuàng)始人Jim Manico建議：“企業(yè)需要去嘗試、犯錯，并堅持適合自己的方法。”

近日在羅馬舉行的2016年OWASP AppSec大會，專家們與來自全球各地近700名與會者探討了“從哪里開始”的問題。下面是從這些討論和對話中總結(jié)的技巧。

創(chuàng)建應(yīng)用安全程序的***步

“從管理的角度來看，企業(yè)可研究OWASP的SAMM(軟件保證成熟度模型)框架，并將從中大大受益，”Minded Security公司***執(zhí)行官Matteo Meucci建議，“SAMM帶領(lǐng)企業(yè)了解他們應(yīng)該如何管理威脅建模、如何執(zhí)行安全測試、如何執(zhí)行安全代碼審查、如何管理漏洞等。”

SAMM工具集可通過圖形說明企業(yè)擁抱應(yīng)用安全程序的能力。通過利用該儀表板，企業(yè)可建立發(fā)展成為更成熟企業(yè)的路線圖。

Meucci稱：“SAMM可很好地幫助企業(yè)了解在哪里投資以及如何改進。”

企業(yè)的應(yīng)用安全程序通常是在軟件設(shè)計和構(gòu)建后，即側(cè)重對應(yīng)用的測試。然而，在AppSec大會很多人都認(rèn)為在后期階段查看安全問題并不夠。

“有些企業(yè)從動態(tài)分析(動態(tài)應(yīng)用安全測試DAST)開始，這只是在應(yīng)用發(fā)布之前，”應(yīng)用測試公司Checkmarx產(chǎn)品營銷主管Amit Ashbel稱，“這有時候會導(dǎo)致發(fā)布延遲，而且，開發(fā)人員需要從頭來過去解決問題。實際上，你應(yīng)該在代碼編寫時靜態(tài)形勢下分析代碼，在***的動態(tài)分析應(yīng)該只是***的檢查，不會對項目帶來影響，因為漏洞已經(jīng)被修復(fù)。”

對應(yīng)用安全的靜態(tài)和動態(tài)測試

Manico對這種非此即彼的立場有著不同的看法，他指出“任何明智的應(yīng)用安全程序都應(yīng)該同時涉及靜態(tài)和動態(tài)測試”。單獨依靠任一種測試都不足夠。

Meucci同意稱這種非此即彼的做法有風(fēng)險。

“這些項目通常會失敗，”Meucci稱，“他們失敗的原因不是因為開發(fā)人員沒有時間回過頭去修復(fù)發(fā)現(xiàn)的漏洞，而是因為他們發(fā)現(xiàn)了太多漏洞不知道如何解決。”

風(fēng)險分析公司Security Innovation國際渠道銷售總監(jiān)Tony Luzza稱：“這個問題是兩面的，首先，***信息安全官(CISO)在開發(fā)生命周期的后期才得到應(yīng)用滲透測試結(jié)果，其次，他們將發(fā)現(xiàn)的結(jié)果交給不懂安全或者不具備修復(fù)漏洞技能的團隊。”

對于開發(fā)后進行測試的企業(yè)，很多人都有著錯誤的假設(shè)：他們可以發(fā)現(xiàn)漏洞、優(yōu)先處理它們，并在修復(fù)漏洞后可銷售軟件。這并不是成功的做法，而且可能會有漏洞未被發(fā)現(xiàn)。為什么呢?軟件團隊承受著巨大的壓力，他們要在規(guī)定時間內(nèi)推出產(chǎn)品。而且運行整個測試和發(fā)布過程是巨大的噩夢，特別是當(dāng)存在很多安全漏洞需要對軟件架構(gòu)進行更改時。

根據(jù)專家表示，***的建議是：盡早測試以及頻繁測試。在編碼階段使用靜態(tài)應(yīng)用安全測試(SAST)并使用動態(tài)測試來捕捉可能溜走的漏洞。

Ashbel稱：“企業(yè)通常忘記這并不是只使用一種類型的測試來節(jié)省資金。”

但這只是開始，想要構(gòu)建有效的應(yīng)用安全程序，還有很多工作要做。

“你應(yīng)該進行靜態(tài)測試和動態(tài)測試，但這只是成熟安全軟件開發(fā)生命周期的部分元素，”Manico稱，“還應(yīng)該考慮安全標(biāo)準(zhǔn)和要求、架構(gòu)風(fēng)險分析、設(shè)計風(fēng)險分析、DevOps基礎(chǔ)設(shè)施、安全框架和庫?？紤]開發(fā)人員培訓(xùn)、測試規(guī)劃、卓越可用性中心，評估安全指標(biāo)、測試評估和成熟安全SDLC的其他方面。”