組織不應(yīng)期望開發(fā)人員成為安全專家;這不是他們被訓(xùn)練成的樣子，也不是他們的工作。相反，組織應(yīng)該使用應(yīng)用程序安全團隊來支持開發(fā)人員，讓他們可以訪問安全的框架、庫和默認設(shè)置，使最安全的選項成為最簡單的選擇。安全護欄旨在幫助組織做到這一點。

可視化安全護欄將如何使您的開發(fā)人員和安全團隊受益將幫助您入門。本文提供了一些基本步驟，您可以實施這些步驟來將安全護欄引入您的AppSec程序。

當(dāng)提供通過將安全工具無縫集成到應(yīng)用程序開發(fā)工作流中來編排安全工具的安全護欄時，開發(fā)人員有權(quán)創(chuàng)建安全代碼。他們通過保持低噪音的政策和控制來保持生產(chǎn)力，并且只報告影響很大的相關(guān)安全問題。

采用安全護欄可確保開發(fā)團隊無需安全團隊的積極參與即可快速運行。同樣，AppSec團隊可以通過自動化開發(fā)人員工作流程中的安全控制、確保執(zhí)行而不是手動執(zhí)行審查以及跟蹤錯誤修復(fù)來擴展。

當(dāng)控制被納入開發(fā)過程時，開發(fā)團隊不太可能忽視和繞過安全性。他們不必采取額外的步驟聯(lián)系安全團隊。安全護欄確保最快的部署路徑也是最安全的。

如何將安全護欄帶入您的AppSec程序

Netflix和Airbnb等公司承認有必要讓開發(fā)人員團隊能夠構(gòu)建安全軟件，同時為他們提供做出適當(dāng)安全決策的靈活性。這些企業(yè)和許多其他企業(yè)已經(jīng)在CI/CD中實施了安全護欄。以下是一些步驟，可幫助您開始為組織中的開發(fā)人員提供一致、可操作的自助式安全治理和控制。

1.定義護欄：組織可以在開發(fā)人員工作流程中實施許多不同類型的安全護欄。對于技術(shù)組織內(nèi)的任何安全團隊來說，從良好的安全策略開始都是至關(guān)重要的。AppSec團隊已經(jīng)與開發(fā)人員交流的安全控制是一個很好的起點。這些可以是定義軟件工件的所有權(quán)、遵循特定的依賴許可策略、使用內(nèi)部工件注冊表、使用或不使用特定庫、代碼審查控制等。

2.設(shè)置范圍：并非所有的代碼倉庫都是平等的，根據(jù)項目的業(yè)務(wù)風(fēng)險和關(guān)鍵性，不同的安全護欄可能適用于不同的代碼倉庫。一旦您知道要實施哪些安全護欄來構(gòu)建“合適的”安全性，您就可以確定在哪里應(yīng)用這些安全護欄。

3.定義觸發(fā)器：根據(jù)您為其應(yīng)用防護機制的基礎(chǔ)資產(chǎn)(即代碼存儲庫、依賴項、拉取請求、容器、EC2實例等)，您可以在何處以及如何使用它可能會有所不同。例如，您可以在創(chuàng)建代碼存儲庫、合并拉取請求、部署容器或作為每晚的計劃時使用一些防護措施。可以在任何這些事件中觸發(fā)護欄，以便開發(fā)人員可以在適當(dāng)?shù)臅r間采取適當(dāng)?shù)男袆印?/p>

4.采取適當(dāng)?shù)男袆樱?/strong>根據(jù)設(shè)計，護欄可以是預(yù)防性的或反應(yīng)性的，對違規(guī)行為可能采取的行動取決于您打算將它們是預(yù)防性的還是反應(yīng)性的。您可以使用反應(yīng)式護欄按預(yù)定義的時間表運行，識別各種護欄違規(guī)，并通知相應(yīng)的所有者。例如，每周找出未配置依賴項掃描和SAST工具的關(guān)鍵代碼存儲庫，并通知所有者違規(guī)情況。

預(yù)防性護欄實時識別違規(guī)行為并通知開發(fā)人員。例如，如果未在該存儲庫上啟用依賴掃描，則自動評論拉取請求或使構(gòu)建失敗，或者如果容器不是來自批準(zhǔn)的容器注冊表，則阻止在Kubernetes中部署容器。

5.報告：定期報告整個組織對護欄的遵守情況。報告對護欄的遵守情況消除了許多關(guān)于此安全問題是否必不可少并使安全風(fēng)險二元化的非生產(chǎn)性辯論。決策變得與底層軟件資產(chǎn)是否滿足預(yù)期控制一樣簡單，無需進一步的安全戲劇或FUD(恐懼、不確定性和懷疑)。

為什么安全護欄是應(yīng)用程序安全的未來

工程和安全團隊一直在努力解決在DevOps期間實施安全的復(fù)雜性。組織經(jīng)常缺乏安全可見性，開發(fā)人員工作流程中的安全檢查不足，以及無法以DevOps的速度擴展AppSec。安全護欄簡化了可在開發(fā)人員工作流程中定義和應(yīng)用的特定于上下文的安全策略和控制的關(guān)聯(lián)。這種策略是AppSec的未來，因為組織必須授權(quán)開發(fā)人員生成安全代碼，而無需擔(dān)心安全守門的拖累。

安全護欄是確保開發(fā)團隊在現(xiàn)代SDLC中采用安全策略和控制的唯一方法。這種采用消除了開發(fā)人員與安全性之間的摩擦，并確保開發(fā)人員能夠快速、安全地開發(fā)應(yīng)用程序。

通過應(yīng)用自動化安全護欄，您的組織可以降低安全風(fēng)險并使部署路徑盡可能安全。Guardrails使開發(fā)人員能夠完全自主地實現(xiàn)與時間相關(guān)的關(guān)鍵性能指標(biāo)，讓工程師在安全團隊的瓶頸最小化的情況下——同時安全團隊可以騰出時間將他們的知識和技能應(yīng)用到最緊迫的問題上。

安全護欄代表了最終的安全轉(zhuǎn)變，使開發(fā)人員能夠安全地從代碼到云。借助CI/CD中預(yù)先構(gòu)建的、上下文相關(guān)的實時安全策略和控制，組織可以影響開發(fā)人員的行為并在SDLC中構(gòu)建安全性。