“讓我們從頭開始，從一個(gè)很好的地方開始。”

電影《音樂之聲》中瑪利亞的建議同樣適用于構(gòu)建有效的應(yīng)用安全程序。這是充滿障礙的道路，對于尚未側(cè)重安全性的企業(yè)來說，這可能非常遙遠(yuǎn)且復(fù)雜，甚至還無法開始。

其他企業(yè)則可能愿意部署前面的步驟，這是一件好事。Manicode Security公司聯(lián)合創(chuàng)始人Jim Manico建議：“企業(yè)需要去嘗試、犯錯(cuò)，并堅(jiān)持適合自己的方法。”

近日在羅馬舉行的2016年OWASP AppSec大會，專家們與來自全球各地近700名與會者探討了“從哪里開始”的問題。下面是從這些討論和對話中總結(jié)的技巧。

創(chuàng)建應(yīng)用安全程序的***步

“從管理的角度來看，企業(yè)可研究OWASP的SAMM(軟件保證成熟度模型)框架，并將從中大大受益，”Minded Security公司***執(zhí)行官M(fèi)atteo Meucci建議，“SAMM帶領(lǐng)企業(yè)了解他們應(yīng)該如何管理威脅建模、如何執(zhí)行安全測試、如何執(zhí)行安全代碼審查、如何管理漏洞等。”

SAMM工具集可通過圖形說明企業(yè)擁抱應(yīng)用安全程序的能力。通過利用該儀表板，企業(yè)可建立發(fā)展成為更成熟企業(yè)的路線圖。

Meucci稱：“SAMM可很好地幫助企業(yè)了解在哪里投資以及如何改進(jìn)。”

企業(yè)的應(yīng)用安全程序通常是在軟件設(shè)計(jì)和構(gòu)建后，即側(cè)重對應(yīng)用的測試。然而，在AppSec大會很多人都認(rèn)為在后期階段查看安全問題并不夠。

“有些企業(yè)從動(dòng)態(tài)分析(動(dòng)態(tài)應(yīng)用安全測試DAST)開始，這只是在應(yīng)用發(fā)布之前，”應(yīng)用測試公司Checkmarx產(chǎn)品營銷主管Amit Ashbel稱，“這有時(shí)候會導(dǎo)致發(fā)布延遲，而且，開發(fā)人員需要從頭來過去解決問題。實(shí)際上，你應(yīng)該在代碼編寫時(shí)靜態(tài)形勢下分析代碼，在***的動(dòng)態(tài)分析應(yīng)該只是***的檢查，不會對項(xiàng)目帶來影響，因?yàn)槁┒匆呀?jīng)被修復(fù)。”

對應(yīng)用安全的靜態(tài)和動(dòng)態(tài)測試

Manico對這種非此即彼的立場有著不同的看法，他指出“任何明智的應(yīng)用安全程序都應(yīng)該同時(shí)涉及靜態(tài)和動(dòng)態(tài)測試”。單獨(dú)依靠任一種測試都不足夠。

Meucci同意稱這種非此即彼的做法有風(fēng)險(xiǎn)。

“這些項(xiàng)目通常會失敗，”Meucci稱，“他們失敗的原因不是因?yàn)殚_發(fā)人員沒有時(shí)間回過頭去修復(fù)發(fā)現(xiàn)的漏洞，而是因?yàn)樗麄儼l(fā)現(xiàn)了太多漏洞不知道如何解決。”

風(fēng)險(xiǎn)分析公司Security Innovation國際渠道銷售總監(jiān)Tony Luzza稱：“這個(gè)問題是兩面的，首先，***信息安全官(CISO)在開發(fā)生命周期的后期才得到應(yīng)用滲透測試結(jié)果，其次，他們將發(fā)現(xiàn)的結(jié)果交給不懂安全或者不具備修復(fù)漏洞技能的團(tuán)隊(duì)。”

對于開發(fā)后進(jìn)行測試的企業(yè)，很多人都有著錯(cuò)誤的假設(shè)：他們可以發(fā)現(xiàn)漏洞、優(yōu)先處理它們，并在修復(fù)漏洞后可銷售軟件。這并不是成功的做法，而且可能會有漏洞未被發(fā)現(xiàn)。為什么呢?軟件團(tuán)隊(duì)承受著巨大的壓力，他們要在規(guī)定時(shí)間內(nèi)推出產(chǎn)品。而且運(yùn)行整個(gè)測試和發(fā)布過程是巨大的噩夢，特別是當(dāng)存在很多安全漏洞需要對軟件架構(gòu)進(jìn)行更改時(shí)。

根據(jù)專家表示，***的建議是：盡早測試以及頻繁測試。在編碼階段使用靜態(tài)應(yīng)用安全測試(SAST)并使用動(dòng)態(tài)測試來捕捉可能溜走的漏洞。

Ashbel稱：“企業(yè)通常忘記這并不是只使用一種類型的測試來節(jié)省資金。”

但這只是開始，想要構(gòu)建有效的應(yīng)用安全程序，還有很多工作要做。

“你應(yīng)該進(jìn)行靜態(tài)測試和動(dòng)態(tài)測試，但這只是成熟安全軟件開發(fā)生命周期的部分元素，”Manico稱，“還應(yīng)該考慮安全標(biāo)準(zhǔn)和要求、架構(gòu)風(fēng)險(xiǎn)分析、設(shè)計(jì)風(fēng)險(xiǎn)分析、DevOps基礎(chǔ)設(shè)施、安全框架和庫。考慮開發(fā)人員培訓(xùn)、測試規(guī)劃、卓越可用性中心，評估安全指標(biāo)、測試評估和成熟安全SDLC的其他方面。”