回顾「安全运营专栏」前两期文章(一、二),您已经了解如何评估您组织的安全应用能力及成熟度(CMM)水平了吗?
等待应用安全项目成熟可能需要数年时间,但只要实施本系列中所述的专家中心(CoE)和运营战略,您的应用安全成熟度模型将飞速超越单纯由技术驱动的基础水平。
将应用安全元素融入企业的 DNA 吧,它可以为公司、员工和客户带来充沛的信心,并满足监管、合规、客户和业务目标。但它并不是一次性的事件,而是一个持续旅程,需要从高管到开发人员的全面合作。
两个策略
优化您的企业应用安全项目
策略1
建立应用安全专家中心(CoE)
作为企业应用安全成熟度战略的一部分,采用并建立专家中心(CoE)的公司能在更短时间内、加速并优化他们的应用安全计划。
据悉,某家成立了 CoE 的企业实施了全面的应用安全项目,在 3 年内即实现对其内部开发的应用组合近 100% 的覆盖能力。
▲ CoE 是由跨职能专家组建的专业团队
CoE 应当是由一群与应用安全项目目标一致的同行组成的。该团队需要非常了解运营问题、技术、流程、业务以及应用项目等对业务成功的影响。CoE 作为应用安全项目的“大脑”,为主要为运营应用安全项目提供策略支持。为了增强执行有效性,该机构必须以组织性承诺和足够的预算为保底,包括利用各种资金、资源等。
CoE 是企业需要深思熟虑的战略构成之一,它将组织中对应用安全技术知根知底的专家们聚集在一起,以快速识别漏洞,并根据对业务的不同影响来对应性修复它们。
▲ CoE 五大职能
策略2
应用安全项目运营
应用安全项目运营,不仅仅是按下某个按钮。它不像数据分析那样将所有资料汇总起来,直接输出预期之内的结果——它更多的是展示应用安全项目对企业的价值,并确保该项目以合理的方式增长,证明成本效率之类的效益表现。这就好比,获得新技术却只是将它束之高阁,这是对企业、客户和员工的漠视。
您需要知道,应用安全计划并非简单的一次性事件,它需要对识别新漏洞、跟踪代码错误、管理及监测等方面进行持续监督。一旦项目开始,最好就不要轻易停下来,除非您有具体的业务需求。比如,新的客户需求、运营需求以及涉及代码和应用应用的其他新想法。
最重要的是,应用安全计划要按照 CoE 规定的路线图发展。您可以将这些问题作为自测标准:比如,应用测试规则是否定期更新并保持最新态?代码是否遵守共同标准及程序?生态系统变化是否包括对标准和程序的修改?要知道,您作出的任何变化,都可能导致代码和应用出现缺陷或薄弱之处。
▲ 应用安全运营模型
应用安全项目运营,还包括识别代码管道的统一真相来源。您必须定义在用户验收测试(UAT)中检入/检出代码的规则及执行流程。代码完整性是否得到了验证?每一个代码实例都是相同版本,还是在提交后产生了修改?在代码被确认并提交至 UAT 之后进行的修改会带来可能的故障点,未经过强化的修改更会导致多个方面的潜在风险。您必须要确保代码在提交之前是没有受到“污染”的。
系统平台维护也是应用安全项目运营的一部分。老旧过时的平台无法跟上消除高风险漏洞所需的最新规则、模式和签名的节奏,更无法确保项目按预期执行。例如,Fortify on Demand 是受规则驱动的,但如果运行于自 2010 年以来就没有更新的 Windows XP 平台,扫描测试对最新漏洞是无效的,其结果一想而知——该公司及客户信息暴露于无数潜在漏洞之中,因为平台的安全签名政策对最新的漏洞无能为力。
CoE 主要根据流程早期建立的指令来操作安全运营平台,但运营可能需要付出更高的成本。比如,高技能的第三方专业人员,如 Saltworks,可以执行操作、监督、控制执行、监测和报告、控制评估和建议等多方面的工作,以减少内部的资源需求。
一个成熟的应用安全计划,需要企业深入了解可能潜伏于代码集的风险,这意味着——应用安全应融入企业 DNA。
将您企业应用安全计划的成熟度,从当前的应用安全能力成熟度模型(CMM)级别提升至新高,就需要将应用安全项目建立于小赢的基础之上。“更大的成功是基于更多小的成功。”建立 CoE 与执行应用安全运营策略,可以加速这一目标早日实现,在从开发人员的工作站转移到生产之前,对代码中允许的内容进行审议、验证和签署。
CMM 4 级及以上通常是可以达到的,但相比 1-3 级,它们需要更高的投资水平;以及在通常情况下,这些高级别是为必须满足严格监管和最高安全要求的行业准备的。例如,如果航空公司某应用遭受攻击,将有可能导致数百乘客的生命受到威胁;同样地,执行紧急心脏手术的医院可能会被黑客利用而任其摆布。
运营
1
识别 SDLC 管道,并将其与安全运营项目相集成
2
引导并教育新从业人员,了解安全运营项目
3
维护安全测试平台组件
4
解决应用程序源代码和应用测试结果之间的整合问题
强化
1
为不符合要求的团队和应用程序提供补救计划
2
上报风险和不符合应用安全计划标准的情况
3
确保所有应用安全从业人员培训和教育合规
4
确保供应商遵守安全应用计划的要求
测量
1
审查绩效
2
应用程序数
3
漏洞指标(包括已识别、已验证、已补救、已根除等)
4
确定风险态势和漏洞趋势
5
衡量供应商表现
6
基础设施的健康状态、好处和性能
评估
1
定期执行定性风险评估
2
比较应用安全要求(设计)和静态代码分析结果
3
分析开发人员平均在每一周期中发现安全缺陷的数量
建议
1
为应用安全计划中发现的任何差距提出风险缓释建议
2
推荐策略或控制措施,以减少常见安全缺陷的发生
我们向您推荐执行企业应用安全计划的专业首选平台——Fortify,以帮助您早日开启这一令人兴奋的、不断创新的代码安全之旅。
扫码免费试用 Fortify
关于我们
OpenText 已完成对 Micro Focus 的收购。我们非常期待今后能为客户带来更丰富的产品和服务,为不断增长的数字化需求和智能化工作提供支持。目前,我们拥有 25,000 名专家,能够为服务客户及推动创新提供不竭动力。
Micro Focus 将为 OpenText 带来关键技术,其中包括全新的 AI 与分析、应用开发与交付、应用现代化,以及数字运营管理。这些新技术能够为 OpenText 提供强而有力的支持,巩固其在内容服务、商业网络、数字体验和网络安全领域的市场领先地位。
通过整合两家公司的综合能力,我们能够帮助客户取得信息优势,加快数字化转型历程。整合后的新公司将聚焦未来业务发展,实现以人为本、兼容并蓄的可持续增长。我们还通过整合信息和自动化来加速处理复杂难题,让任何规模的企业都能利用新的数字结构、新的规则,以及新的工作方式实现重塑。许多享誉全球的公司全都仰赖 OpenText,并且十分认可我们在提供智能工作方式方面的专业知识。OpenText 不仅能够发挥信息的强大作用,而且非常重视信息保护,让组织和个人都能发挥出最大潜力。
