无论你将其称为左移安全、预置安全,还是设计安全,当今具有前瞻性的企业都明白,他们不仅需要将安全作为单个应用程序的整个生命周期的考虑因素,而且还需要考虑其支持的业务产品的整个生命周期。为了做到这一点,越来越多的企业使用产品安全团队和产品安全官作为实现这一变化的一种方式。
产品安全将传统应用程序安全的范围远远扩展到测试之外,并扩展到倡导、业务组之间的协作、设计思维、威胁建模、架构规划和真正的风险管理领域。Appdome的首席产品官Chris Roeckl表示:“通过积极参与开发过程的每个阶段,产品安全团队帮助将安全考虑因素嵌入到软件的设计、架构、编码、测试和发布到生产中。”这种主动的方法是一个良性循环,将漏洞风险降至最低,并确保安全是最终产品不可或缺的一个方面。
如果处理得当,产品安全将成为兑现DevSecOps倡导者多年来做出的承诺的重要因素。
应用安全和产品安全有何不同
虽然应用安全和产品安全有一个共同的目的——帮助企业发布和维护安全软件--但每个功能在实现这一目标中扮演的角色是不同的。谷歌员工云安全倡导者米歇尔·丘比尔卡解释说:“应用安全真正关注的是测试、验证和工具链,而产品安全涵盖了整个SDLC的业务规则,包括软件开发中那些模糊的人为部分。”
此外,虽然应用安全团队深入研究他们负责加强的每个单独的应用程序,但产品安全要着眼于整体情况,端到端地查看帮助提供给定产品的整个堆栈的安全性。产品安全是应用程序安全的延伸。应用安全集中在保护单个软件应用程序的代码和功能上。“Contrast Security公司的CISODavid Lindner说。产品安全考虑到更广泛的环境和各种组件之间的通信可能出现的潜在攻击载体,从整体上看待整个技术产品。
这一更广泛的环境可以同时包括多个应用程序、硬件组件和相关服务。产品安全考虑了它们在一起部署时的安全状态。
对于一些公司来说,产品安全可能只关注外部客户,但其他公司甚至认为关键的后端财务或人力资源系统等内部项目也在产品安全保护伞的范围内。全球软件开发公司EPAM Systems的CISO萨姆·拉赫曼解释说,无论哪种方式,产品安全前景都更加全面。“这涉及更广泛的范围,包括运营和技术控制、整体环境、客户身份,以及检测和应对服务中潜在问题的机制。”他说。
黑莓负责产品安全的副总裁克里斯汀·加兹比(Christine Gadsby)表示,看待这一区别的一种方法是将应用程序想象成蛋糕。应用程序安全类似于在将其提供给某人之前检查单个蛋糕,以确保它看起来安全且没有污染。同时,产品安全是指改善面包店制作蛋糕的方式和他们使用的工具,以确保每一块蛋糕都是安全和美味的。“产品安全更像是一种‘大局’方法——从开始到结束的整个烘焙过程,确保你在每一步都有正确的动作和过程,以确保蛋糕有完全正确的成分,满足你客户的精致甚至敏感的托盘,并在整个生命周期中保持‘新鲜’,”她说。作为一个企业,产品安全团队必须考虑整个产品或系统列表的安全性以及客户使用它们的内容,这些产品或系统可能包括几个‘配料’或几个蛋糕。
为什么产品安全正在成为应用的趋势
产品安全已经出现在企业架构图上,这一事实并不是对传统应用程序安全测试的否定,只是承认现代软件交付需要不同的视角,而不是受过培训的应用安全测试显微镜。由于技术领导者已经认识到应用程序不是在真空中运行,产品安全已经成为帮助观察单个应用程序之间的差距的首选团队。这个团队的成员也是安全倡导者,他们可以帮助向可重复的开发过程和产生所有代码的“软件工厂”灌输安全基础。
API安全测试公司StackHawk的联合创始人兼CSO Scott Gerlach表示,产品安全的出现类似于DevOps运动早期站点可靠性工程的增加。随着软件交付的速度越来越快,从开始到交付,可靠性都需要融入到产品中。如今,安全团队通常在开发过程中与软件的交互最少。另一方面,产品团队在整个生命周期中全力以赴。将安全性纳入他们的技能集,并从产品开始到发布进行整合,可以实现更快、更安全的产品交付周期。这是为了在早期让安全更接近产品。
同时,产品安全通常不会取代传统的应用安全。应用程序安全在保护软件方面继续发挥着重要作用,最好是在一个协调良好的产品安全框架内。EPAM的拉赫曼解释说:“值得注意的是,产品安全依赖于应用安全实践来限制和减少应用程序中的漏洞。”如果不解决应用程序级漏洞,任何围绕产品的额外安全措施都无法确保高标准。
产品安全团队可以促进安全文化
产品安全在设计原则下的安全实现中起着举足轻重的作用。根据拉赫曼的说法,它在产品或服务的设计阶段是不可或缺的。这种参与扩展到定义复杂地编织到产品的架构和功能中的强大的产品政策和控制。“。
定义产品策略只是个开始,因为产品安全是工程和开发、业务利益相关者和安全领导之间协作的实际促进者。企业经常将该团队用作推动始终难以捉摸的安全文化的变革推动者,而许多软件安全大师多年来一直倡导这种文化。
Gadsby说:“产品安全团队可以通过定期交流安全更新、成功经验和挑战,帮助创建一种有安全意识的文化,让每个人都能在日常工作中了解安全并将安全放在首位。”他们制定明确的指导方针和标准,提供资源教育员工有关最佳实践的知识,并与开发团队合作,将安全性整合到软件开发生命周期中。
虽然产品安全确实做了相当多的宣传和政策工作,但最好的产品安全团队不会只把繁重的安全需求堆积在别人的肩膀上,而不支持他们。Synopsys Integrity Group的副首席安全顾问杰米·布特(Jamie Boote)表示,它们应该帮助减少局限。
布特解释说:“一种特殊类型的局限会阻碍企业中的安全,那就是认知局限——理解和解决安全问题所需的精神努力。”通过提供培训、明确的要求、可重复使用的解决方案和按设计确保安全的组件,团队只需付出最少的努力即可适应和使用这些组件,从而可以减少开发人员、架构师、工程师和其他利益相关者所遇到的认知局限。
拉赫曼表示,通过领导对每个参与产品相关方面设计和编码的人的教育和培训,是产品安全作为安全文化变革推动者角色的关键组成部分。他说:“非安全专业人士往往缺乏防御性思维或预测潜在攻击者视角的内在本能——我称之为‘检查每一个角落’的观念。”“分享看似合理的情景,不是为了引起恐惧,而是为了说明袭击者的潜在行动,这对于在企业内培养安全文化至关重要。当个人掌握了可能出现的情景和面临风险的资产时,他们就更有可能采取正确的心态。
谁负责产品安全?
如果一个企业没有在Prodsec团队中安排合适的人员并建立授权的报告结构,使他们能够成功地影响变化,那么所有这些产品安全的职责和目标都是纯粹的抱负。最好的产品安全专业人员需要拥有技术熟练和软技能的体面组合,这将有助于他们促进协作;这不是那些不喜欢与人交谈的摇滚明星技术人员的地方。同样,他们需要一位负责安全以及提供有利可图产品的业务和工程方面的负责人。“要领导有效的产品安全,必须任命一位具有产品知识和深厚安全专业知识的人,”拉赫曼说。他建议,他们将被授权在四个关键利益相关者领域进行有效沟通:IT、CISO办公室、开发/开发运营团队,以及治理、风险和合规。
根据企业的需要和文化,报告结构将有很大不同。如果他们更大的企业是围绕产品建立的,一些Prodsec团队可能会嵌入到工程或产品企业中。此外,一些团队可能会根据监管或法律风险敞口向法律或合规部门报告。但有些人通常仍会向CIO/CTO、CISO或副总裁或安全总监汇报工作。
拉赫曼说,最常见的直接下属通常是CISO、CTO和CIO。他说:“在安全企业在技术上熟练且强大的情况下,我倾向于向CISO报告。”或者,向负责技术战略的CTO汇报也可以为产品安全角色提供一个有效的住所。这一选择最终取决于该企业的具体动态和目标。
作为黑莓产品安全副总裁,加兹比直接向CISO汇报工作。这将确保产品安全努力与我们的公司安全战略保持一致,并确保我们在所有产品和服务中始终如一地实施安全措施。“。
无论产品安全直接向谁报告,所有专家都同意,CISO应该为团队执行的产品安全设定战略愿景。CISO通过定义产品安全倡议的战略方向来塑造和指导产品安全团队。他们考虑如何将安全性集成到产品开发生命周期中,并使其与公司的总体目标保持一致。CISO还确保产品安全团队由熟练的专业人员组成,他们能够应对与产品开发相关的一些复杂挑战。与其他部门进行了大量合作,以确保安全措施无缝集成,他们努力建立安全政策、标准和指导方针。
