新思科技亮相RSA大會 解析安全的“人為因素”
參加世界上任何一個重要的安全會議,您都會經(jīng)常聽到這樣的評論:企業(yè)提高其軟件安全性的最佳方法是使開發(fā)和運營團隊能更輕松地將軟件“內(nèi)置安全性”。
這一論點在全球性安全大會RSA上也得到驗證。RSA 2020安全大會在美國舊金山舉行,期間有一場” DevOps Connect:DevSecOps Days”全天系列會議備受矚目,通過小組討論和主題演講等形式探討企業(yè)如何將安全更加無縫地內(nèi)置到軟件開發(fā)和運營中。
新思科技是該系列會議的贊助商,在RSA大會上宣布了近期的新舉措,以支持DevOps的安全組件更加易用。
首先,新思科技發(fā)布Polaris軟件完整性平臺的重大更新,通過Code Sight IDE 插件的本機集成將其靜態(tài)應(yīng)用安全測試(SAST)和軟件組成分析(SCA)的功能擴展到開發(fā)人員的桌面。這些功能在同類解決方案中是史無前例的,將使開發(fā)人員能夠主動查找并修復(fù)專有代碼中的安全缺陷以及開源代碼依賴項中的已知漏洞,而無需離開他們的交互式開發(fā)環(huán)境(IDE)。
簡而言之,這將使得軟件構(gòu)建更加安全、簡易和快速。
新思科技產(chǎn)品營銷總監(jiān)Patrick Carey指出開發(fā)團隊與安全之間持續(xù)存在緊張關(guān)系的原因:開發(fā)人員將安全視為“具有破壞性的”。
為什么這么說呢?在標準工作流程中報告缺陷時,開發(fā)人員已移至下一個任務(wù)。要糾正問題,他們必須中斷正在做的事情,然后返回,重新打開代碼,進行修復(fù),然后重新測試。
但是,最新版本的Code Sight IDE 插件通過幫助開發(fā)人員在構(gòu)建軟件時發(fā)現(xiàn)并解決專有和開放源代碼的問題來解決這個沖突,而不是切換工具或中斷他們的工作流程。
Patrick Carey表示:“這將從根本上改變開發(fā)人員在開發(fā)過程中檢測、分析和補救安全風(fēng)險的方式。”
再者,新思科技已完成對Tinfoil Security的收購。Tinfoil Security總部位于美國加利福尼亞州,是一家動態(tài)應(yīng)用安全測試(DAST)和應(yīng)用程序接口(API)安全測試解決方案的創(chuàng)新提供商。
通過收購Tinfoil Security,新思科技可擴展其DAST應(yīng)用,并添加API安全測試功能。Tinfoil Security的DAST技術(shù)可以無縫集成到開發(fā)和DevOps工作流程中。此外,Tinfoil Security創(chuàng)新的API掃描技術(shù)可滿足市場上不斷增長的需求,為新思科技的產(chǎn)品組合系列錦上添花。
Tinfoil Security的Web掃描解決方案是下一代DAST技術(shù),可識別Web應(yīng)用程序上的漏洞,并與DevOps工作流程緊密集成。Tinfoil Security API掃描程序可檢測API中的漏洞,包括與Web連接的設(shè)備(如移動后端服務(wù)器、IoT設(shè)備以及任何RESTful API)。
無論是下一代DAST技術(shù)還是API安全測試功能,都是新思科技首席科學(xué)家Sammy Migues曾提出的“軟件安全的巨變”。
Sammy Migues在RSA大會上發(fā)表了“下一代軟件安全遷移”(The next great software security migration)的演講。Sammy Migues是新思科技軟件安全構(gòu)建成熟度模型(BSIMM)聯(lián)合作者之一,從第一個版本就已經(jīng)參與報告的編寫。2019年發(fā)布的第十個版本 BSIMM10已經(jīng)強調(diào)這些變化。
Sammy Migues介紹道:“這些變化有可能解決大家都對當今的軟件安全計劃(SSI)不滿意的許多問題,包括對抗性關(guān)系、不合理的磨擦、人工密集的工作、容易出錯的過程以及系統(tǒng)上有缺陷的軟件。”
以不降低速度的方式將安全性引入軟件開發(fā)中。“充分利用敏捷過程、CI / CD工具和DevOps文化的優(yōu)勢,使我們能夠消除一些技術(shù)債務(wù),定義一些策略,進而做出我們期待的改變。”
早在2011年,Sammy Migues是第一位提出安全“向左移”(shift left)的人。現(xiàn)在,“向左移”已經(jīng)是個業(yè)內(nèi)熟知的術(shù)語,表示在軟件開發(fā)之初就已經(jīng)開始構(gòu)建安全性,而不是等到開發(fā)結(jié)束后。
“文化”是DevSecOps Days活動的主要議題。在一場“ DevSecOps和破壞性發(fā)展”的小組討論中,與會人員同意將這三個團隊結(jié)合在一起并不是技術(shù)問題,而是人為問題,這與今年RSA大會的主題非常契合:“人為因素” (Human Element)。
該小組討論的成員包括Equifax首席轉(zhuǎn)型官Sean Davis; Attivo Networks顧問Chris Roberts;英特爾全球網(wǎng)絡(luò)安全政策總監(jiān)Amit Elazari;主持人Charlene Li(The Disruption Mindset《顛覆性思維》的作者)。他們都認為變革是“痛苦的”,也需要人的合作,這是取得進步的唯一途徑。
Sean Davis表示:“開發(fā)、安全和運營團隊互相有怨言,他們并不理解不同團隊的工作或者彼此也不溝通。這些團隊的領(lǐng)頭人能將不同團隊的人員凝聚在一起,才有更大的機會取得成功。”
Chris Roberts表示:“這意味著不同團隊的協(xié)作,而不是單打獨斗。如果完全獨立運作,可能實現(xiàn)不了目標;攜手合作則更容易向成功邁進。當遇到問題的時候,需要想的是我們 - 而不是我,要如何解決問題。”
