检查清单:安全性左移的六大规则
安全性左移是一种在开发过程中尽早提供安全反馈和防护的操作模型,其中开发人员负责安全更改,安全人员则充当协作者和影响者。以下是集成云安全以提高发布速度,同时维护和改善安全态势的六个关键指南:
-
提前执行安全扫描
- 在设计和开发阶段尽早提供安全反馈。
- 系统自动执行集成和部署流程,实现基础架构模板的完整版本控制和可审核性。
- 开发人员无需访问 CI 或 CD 平台和生产环境,强制执行最低权限安全原则。
- 将安全性嵌入到 IDE 中或作为提交前钩连点,提供类似单元和集成测试的反馈。
- 扫描版本控制系统 (VCS) 和持续集成 (CI) 管道中的基础架构代码库。
-
在整个开发周期中实施策略
- 在开发生命周期的每个阶段实施安全与合规性策略。
- 提交前扫描 IaC 模板,并在部署过程中持续扫描,提供一致、频繁的反馈。
- 定期扫描模板,以发现现有代码中的新问题。
-
提供快捷可操作的反馈
- 利用 DevOps 的速度和敏捷性优势,迅速采取行动。
- 阻止构建或部署时提供指导,避免开发人员寻找解决方法。
- 确保安全调查结果包含违规行内容的优先顺序排序及修复指导。
- 使用 IDE 扩展或平台提供实际修复。
-
注意不可避免的云漂移
- 使用 IaC 管理云配置流程,但带外更改(漂移)不可避免。
- 通过协调循环和不可变基础架构强制执行 IaC 模板。
- 创建漂移检测策略,确定漂移何时造成风险。
- 实施与堆栈相关的漂移检测自动化。
- 将答案分类并发送给合适的个人或团队。
- 仅在存储库中托管和实施版本控制的 IaC 模板中对云环境进行更改。
-
随着时间的推移跟踪进度
- 通过策略检查基础架构并强制提供反馈,提高代码库和已部署基础架构的安全性。
- 衡量一段时间内(如每周或每月)发现的错误配置、已修复的错误配置,以及引入的新错误配置的数量。
- 为修复识别的错误配置所需的时间创建基准或 SLA,并采取措施减少补救时间。
-
鼓励与开发人员和安全团队合作
- 协作对成功至关重要,开发人员和安全团队需共同努力,迭代和改进流程及工具。
- 通过与安全团队一起调整反馈减少干扰,确定哪些内容可以在不进行修复的情况下通过。
- 为安全团队创建一种方法,就哪些手段有效哪些无效提供反馈。
- 开发团队需要继续加强积极的反馈循环。
获取 Prisma® Cloud 免费试用,立即开始左移您企业的安全性。
