为什么漏洞优先级排序已成为安全专业人员面临的最大挑战?安全和开发团队如何正确处理漏洞排序问题?

在解决积压的未修复安全问题时,许多软件开发公司都面临艰难困苦的战斗。其中一个原因就是自动化安全工具激增。采用自动化解决方案可以帮助开发人员和安全人员左移测试,摒除耗时手动过程,是DevSecOps方法中很受欢迎的组件。但该方法也需要开发和安全团队应对一系列新的挑战。最明显的挑战就是冗长的安全警报列表,海量安全警报需要公司找到恰当的方法高效排序漏洞。

安全人员的最大挑战:漏洞优先级排序

最近,WhiteSource 针对560多位应用安全专业人士和软件开发人员进行了问卷调查,发布了DevSecOps洞察报告》。被问到实现和运营应用安全项目的最大挑战时,大多数安全专业人士的回答都是漏洞优先级排序(41%)。

图:实现和运营应用安全项目的最大挑战

对软件开发人员而言,这个结果毫不令人意外。软件开发公司如今在用的应用安全工具比以往多得多,而且从开发的最早期阶段就在使用。大多数应用安全工具都基于检测,但这仅仅是第一步。接下来要面对的问题就是漏洞排序:检测出安全漏洞后,您怎么确保自己最先解决的是最关键的漏洞?

漏洞排序:任重道远?

尽管漏洞排序是避免工作积压的基本操作,但公司企业仍然难以制定出标准化排序过程。虽然漏洞排序高居应用安全专业人士所列挑战排行榜顶端,WhiteSource 调查发现,大多数开发团队和安全团队并没有遵循同样的排序过程。

调查询问了公司安全和开发团队在哪些漏洞需要修复的问题上达成一致的程度,而结果令人担忧:58%的受访者称他们有些时候能够达成一致,但每支团队都遵循自己独特的做法和独立的指南。仅31%的受访者表示拥有一致的优先级确定过程。

图:对于哪些应用漏洞需要修复,公司安全团队和开发团队意见一致的程度

缺乏一致过程的代价

缺乏一致的过程,排序就会变得相当耗时、昂贵,且有风险。在各团队花费宝贵的时间试图找出哪些漏洞可能严重影响自身系统的同时,修复被拖延了,而安全威胁处于无人照管状态。

除了丢失宝贵的修复时间,围绕哪些漏洞需要及时关注的协商与争论,也成了开发团队与安全团队之间产生摩擦的主要原因。在公司企业努力桥接安全与开发的时候,所有人都在寻找打破开发与安全之间传统屏障的方法,而不是制造战场拖慢二者脚步,同时让大家都身处危险之中。

直面漏洞排序挑战

令人欣慰的是,一些公司已经开始学习怎样应用DevSecOps原则进行漏洞排序,以便能够将之轻易集成进敏捷开发周期。团队间合作、共享安全所有权、自动化等原则,能够帮助公司企业跳出困扰众人许久的安全警报瓶颈。

以下三条建议能够帮助您通过融合DevSecOps实现正确漏洞排序:

1. 设置共享过程。只要有达成一致的过程,就没有争论的必要。想要形成一致的过程,需要各团队花些时间制订详实稳健的计划,但所产出的过程,却可以帮您避免掉很多麻烦、风险和浪费掉的时间。

2. 自动化。今天的DevSecOps几乎为任何事情提供了趁手的工具,其中就包括漏洞排序。理想状态下,漏洞检测工具也将提供漏洞排序与缓解的洞察与技术,帮助您优先解决最紧急的问题。找到能够洞察哪些漏洞会影响公司代码的工具,这样您就不用浪费时间处理那些严重性评分虽高却对您毫无影响的威胁。

3. 任命应用安全倡导者WhiteSource的调查发现,拥有应用安全(AppSec)倡导者的团队,几乎倍增了依靠可信标准化过程轻松达成共识的概率。

图:对于哪些应用漏洞需要修复,公司安全团队和开发团队意见一致的程度

应用安全倡导者是迈向桥接开发团队与安全团队的重要一步。这个角色有助于促进沟通和推进流程,尤其是在漏洞优先级排序方面;还可以确保大家保持意见一致,激发共同的责任感,一起提升DevSecOps成熟度。

排序漏洞:实现快速修复

当前环境下,发布时间表越来越紧凑,大家都在开足马力赶进度,面对看起来没完没了的安全警报列表,谁有时间来争论哪个先处理哪个再放放?

漏洞排序未必是充满火药味的冗长磋商或猜谜游戏。参考DevSecOps策略,实现优先级排序过程,挑选正确的工具,培养共同的安全主人翁意识,有助于确保您的团队成为运作良好的漏洞修复机器。

WhiteSource《DevSecOps洞察报告》:https://resources.whitesourcesoftware.com/research-reports/whitesource-devsecops-insights

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。