文档章节

如何确保项目开发敏捷和安全两者兼得呢?

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/01/11 12:01
字数 2439
阅读 16
收藏 0

前言

敏捷开发是现在主流的开发模式,相对于传统的瀑布式开放,它通过快速的迭代来响应和展示客户的需求,敏捷开发的优点已经是众所周知了。但是敏捷开发已经实施了很多年了,项目安全问题还是和瀑布开发开放模式一样没有得到解决,都是到项目上线前一两个礼拜才进行安全测试和渗透测试。

如何确保项目开发敏捷和安全两者兼得呢?

这种模式有非常大的弊端,第一,很多安全问题应该在架构设计和coding的时候就要考虑到的,在项目快结束的时候去解决已经太晚了。第二,从我的经历来看,大多数项目由于各种原因都会有延迟的情况,这个时候上线压力非常大。即使发现了很多安全漏洞,由于修复代价非常的高,项目经理通常会采取折中的方案来保障上线。任何折中方案都会导致漏洞直接上线,暴露在黑客面前,给产品带来非常大的风险。

将安全问题留到最后解决是非常危险的,但是在立项的时候就把安全问题全部放到项目开始阶段也并不是非常可取的,软件架构包含很多跨功能的需求,比如性能、扩展性以及安全。这些需求通常应该在代码设计前设计和决定如何实施,因为这个时间点才会有足够的信息来做正确的决定。太早的时候决定这些跨功能需求由于没有足够的信息会带来安全风险,等发现想修改架构时因为代价太高,已经太晚了。

将安全问题放在项目开始或者结束的时候来考虑都是极端的做法,那在敏捷开发的项目如何解决安全问题呢?正确的做法是在项目开始时考虑好项目安全需要做哪方面的工作,需要什么样的架构设计,在开发过程中始终考虑安全因素,在项目结束时进行必要的安全测试。

从笔者的个人项目经验,做到以下几点也可以让安全也可以敏捷起来。

1. 贯彻安全编码规范

如果每个开发人员都知道如何编写安全的代码那么很多应用程序的安全漏洞都能够避免。比如:在处理用户输入时,应该知道如何做输入校验。在将用户信息存入数据库时,应该知道讲敏感信息进行加密或者混淆。在进行数据传输时要确保传输通道安全及对内容加密。在返回错误信息和log时要对输出进行消毒等等。精通OWASP Top 10应用安全漏洞是每个应用程序开发人员的必备技能。WebGoat是一个非常好的学习的网站,网络上也有很多相关的支援。中国古话说得好“磨刀不误砍柴工”,在项目开始对程序员举行必要的安全等方面的培训是非常有必要的。

2. 每个项目组应该有一名安全专家

坦率讲让每个程序对安全有深的理解是不现实的,有很多安全问题是需要专家的眼睛才能发现。安全专家是刚需,强烈推荐每个项目组有一个在应用安全领域有比较深研究和理解的资深程序员。需要安全专家的级别和能力可以根据项目对安全的要求来定,当然有条件的情况,专家能力越强对项目的安全保障越好。在没有请安全专家能力的团队可以由安全经验丰富的资深工程师来担任也是可以的。安全专家的主要职责包括:

  • 在开发安全敏感度非常高的用户故事时和工程师们结对编程
  • 对工程师的代码进行安全评审,确保代码在提交到代码库前没有安全问题
  • 在选择使用哪些商业代码,开源库,公共API等第三方库时进行安全分析和决定
  • 帮助QA人员测试安全敏感度高的用户故事,确保程序安全。

除了这些以外,安全专家还应该帮助程序员熟悉安全编码,将安全知识分享给每个程序员,提高程序员的安全意识。 3. 识别安全敏感度高的用户故事 八二原则在安全也是适用的,80%的安全问题是由20%的用户故事导致的,安全专家要识别出安全敏感度高的用户故事,将有限的资源有限放在这些故事里。安全专家可以在每个迭代开始前利用计划会议将这些安全敏感度的故事识别出来并标志出来。让每个程序员对这些用户故事在安全方面加以重视。举几个应该标为安全敏感度高的用户故事:

  • 包含用户输入选项(比如输入框,选择框等等)
  • 存储数据到数据库
  • 数据传输到外部系统
  • 处理外部系统传入的数据
  • 输出信息到外部系统和文件等。
  • 处理验证和认证流程

4. 每个安全敏感用户故事都应该有恶意测试

每个用户故事都事先设计可接受条件,项目负责人可以在安全专家的帮助下从安全的角度设计可接受条件,安全专家应该写一些恶意的或者破坏性的测试条件,类似于功能测试用例。就是从黑客的角度去思考问题,如何攻破这些用户故事。

5. 在用户故事被接收前举行严格的安全测试

传统模式是在项目结束前才举行安全测试,在敏捷模式下,每个用户故事在被接受前都应该进行安全测试,QA人员可以在安全专家指导下和功能测试一起执行恶意测试,也可以使用静态和动态扫描工具对代码举行漏洞扫描,一旦发现安全问题,和功能bug一样,用户故事将会退回给开发人员进行修复,修复完毕后再进行测试。这种循环可以进行多次直到没有问题发现。用户故事才能被接受。

安全测试自动化还是手工呢?

自动化化测试是敏捷开发中非常重要的一个基础,也可以说没有自动化就没有敏捷模式。安全测试也是同样如此。自动化不是万能的,很多测试是自动化没有办法完成的,片面最求完全自动化是不可取的。对安全尤其如此,比较好的方式是,安全专家先通过手工的方式找到漏洞,然后将这个找漏洞的过程自动化,避免新的代码改动引起同样的漏洞。

后语:

这几种实践实际上是和敏捷开发思想是一致的,就是将整个安全的需求拆分到每个迭代里,让安全需求由抽象变为具体,在确保每个用户故事安全的前提下进而确保整个项目的安全。但是说起来容易做起来的确不简单,安全专家和有安全意识和能力的开发人员是稀缺资源,尤其在中国,大家重视项目安全也是最近一两年的事情,安全人员的培养没有跟上来。

在这种情况下完全按照这个实践是不太现实的,针对这种情况 Gartner 在2014年就提出了 RASP 的概念,就是将这些实践抽象成一种通用化的产品,将安全编码规范和漏洞发现融合成一种安全产品,开发人员可以讲 RASP 产品结合扫描工具在运行时对产品漏洞检测,很快就定位哪行代码存在安全漏洞。这种产品的理念和敏捷开发非常的匹配。大家有兴趣可以尝试一下。相关资料可以通过 Google 和百度可以找到。

本文系 OneRASP 安全总监刘再耀原创文章。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
发布怪兽DevOps是怎么作妖的——浅析DevOps过程

什么叫DevOps DevOps(Development和Operations的组合词)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。 DevO...

柳猫
2018/08/25
69
0
敏捷开发探寻本质

我们需要坐下来好好谈谈,什么事敏捷开发。 1.什么是敏捷开发? 敏捷开发(Agile Development)是一种以人为核心、迭代、循序渐进的开发方法。 怎么理解呢?首先,我们要理解它不是一门技术,它...

疯狂的兔子
2014/06/24
34
0
浅谈企业 DevSecOps 实践:基本原则

     Devops 是一个操作框架,通过自动化来促进软件的一致性和标准化。通过打破不同开发团队之间的障碍,同时通过优先考虑使软件开发更快更容易的事情,该框架帮助解决了围绕集成、测试、...

嘶吼RoarTalk
10/17
0
0
【scrum 1】 敏捷开发简单理解

[+] 随着敏捷开发越来越流行,人人都在谈敏捷,人人也都在学习scrum等敏捷开发方法。。。当然,自己也是敏捷开发的实施者和受益者。 背景 我们公司引入敏捷开发的时间并不长,在实施敏捷的过...

Daim
2016/03/22
48
0
PMI-ACP 敏捷项目管理——模拟试题2

1、在项目的Sprint回顾会后,团队成员指出那是抱怨会,不是非常有效。Scrum主管应该怎么做? A 建议团队尊重敏捷宣言原则,解释其属于回顾会的组成部分 B 建议团队成员将他们的观察列入产品待...

隔壁老李头
2017/12/06
0
0

没有更多内容

加载失败,请刷新页面

加载更多

web前端开发高级

前端高效开发框架技术与应用 Vue 基础 Vue 框架简介 MVX 模式介绍 Vue 框架概述 如何使用 Vue.js 基础语法 实例对象 生命周期 模板语法 计算属性 Methods 方法 渲染 列表渲染 条件渲染 事件与...

达达前端小酒馆
28分钟前
4
0
PostgreSQL 11.3 locking

rudi
今天
5
0
Mybatis Plus sql注入器

一、继承AbstractMethod /** * @author beth * @data 2019-10-23 20:39 */public class DeleteAllMethod extends AbstractMethod { @Override public MappedStatement injectMap......

一个yuanbeth
今天
21
1
一次写shell脚本的经历记录——特殊字符惹的祸

本文首发于微信公众号“我的小碗汤”,扫码文末二维码即可关注,欢迎一起交流! redis在容器化的过程中,涉及到纵向扩pod实例cpu、内存以及redis实例的maxmemory值,statefulset管理的pod需要...

码农实战
今天
4
0
为什么阿里巴巴Java开发手册中不建议在循环体中使用+进行字符串拼接?

之前在阅读《阿里巴巴Java开发手册》时,发现有一条是关于循环体中字符串拼接的建议,具体内容如下: 那么我们首先来用例子来看看在循环体中用 + 或者用 StringBuilder 进行字符串拼接的效率...

武培轩
今天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部