利用 DevSecOps 自動化工具來融合資安、開發與維運團隊的最佳實務

利用DevSecOps自動化工具來融合資安、開發，與維運團隊的最佳實務 2024臺灣資安大會Copyright©2024DocutekSolutions.Allrightsreserved.|‹#› @臺灣資安大會2024 林皇興LambertLin 2024/5/14 VP/CISSP/達友科技DocutekSolutions(Synopsys新思科技/應用安全方案代理) 資安、開發與維運團隊的DevSecOps當今挑戰 軟體安全 問題:軟體與應用系統是駭客入侵活動的#1攻擊表面 目標:確保您所開發交付的軟體安全且可信賴 開發速度挑戰 問題:開發人員很討厭會拖慢開發進度的工具與資安檢查流程 目標:需要確保安全測試工具不會阻礙開發 合規&聚焦商業風險 問題:維運與開發團隊為漏洞修補而感到疲累不堪,無法聚焦真正風險 目標:需要識別並關注大量紀錄中的真正風險 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|2 SDLC進階到SSDLC,發展一個安全的,可靠的軟體 資料來源:geeksforgeeks.org 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|3 軟體組建清單SBOM越來越受重視 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|4 歐盟新法網路韌性法案CyberResilienceAct/CRA •2024年3月12日，歐洲議會以517票對12票贊成 （78票棄權）的多數票通過 •標的:具有數位元素的產品 (productswithdigitalelements,PDE) •所有數位產品製造商、進口商和零售商需遵循 •大幅改變產品的資訊安全規範和使用開源軟體的責任，違者恐面臨罰款甚至失去CE標誌的風險 •違反CRA處以最高1500萬歐元或上一財年全球年營業額2.5%的罰款 （以較高者為準） 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|5 企業使用【開源軟體】方式SupplyChain供應鏈風險 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|6 6 DevSecOps讓安全活動無縫整合到軟體生命週期 •要有效的達成應用安全，是需要一些自動化工具的輔助 •AppSecTesting工具融入DevOps，打磨成適合自身的DevSecOps工具鏈 Copyright©2024DocutekSolutions.Allrightsreserved.|7 •理想的DevSecOps工具鏈的應滿足以下特點：非侵入式、自動化、智慧能力、可視性及開放性 2024臺灣資安大會 新思科技 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|‹#› 自動產生SoftwareBOM(BillofMaterial)組件清單與風險 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|9 BlackDuckSCA協助控制引用開放原始碼帶來的可能風險 SoftwareCompositionAnalysis 識別與追蹤App或Container有用到開源的元件 找到與建議如何修復已知開源的弱點(開發中/已發布) 檢查、確認這些開源組件的授權條件，確保沒有授權違規 檢查、確認這些開源組件的授權條件，確保沒有授權違規 整合與自動化的落實開源組件引用帶來的風險，以遵循法規 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|10 BlackDuck開源弱點比對&合法授權工具之分析技術 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|11 11 SCA:BlackDuck–系統架構 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|12 報告儀錶板 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|13 自動化Pipeline整合到CI/CD流程 例如GitHub,微軟TeamFoundationServer(TFS),Azure DevOps 在Build&ReleasePipeline中可自動整合SCA分析工具 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|14 提供軟體風險的消弭建議 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|15 可追蹤弱點修正的軌跡 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|16 開源弱點比對&授權合法性分析之流程 開源弱點比對& 合法授權工具 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|17 17 在應用安全測試領域，是廣受認可的領導者 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|18 Synopsys的DevSecOps應用安全完整方案 程式碼開發階段,得與開發工具IDE整合,一邊進行開發,一邊原碼檢測，並引導進行修復，提升安全品質 在程式編譯、建置階段,得以透過SAST 靜態分析與原碼檢測，確保所建置的軟體消弭了可能的漏洞，並提升安全品質 軟體已經佈署、上線階段，由維運團隊持續的效能與威脅監控，確保系統的運作正常 CodeSightTMIDEPlugin 由測試團隊負責測試並檢驗所建置軟體的功能是否符合規畫階段所定義的軟體功能與需求 Coverity®SAST Seeker®IAST DefensicsFuzzing WhiteHatTMSAST BlackDuck®SCA RiskAlerts SoftwareRiskManager應用程式安全風險管理中控 ASPM 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|19 Synopsys的應用安全方案，智慧地將資安融入DevOps中 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|20 達友科技代理的主要品牌與應用 2024臺灣資安大會 Copyright©2024DocutekSolutions.Allrightsreserved.|21 利用DevSecOps自動化工具來融合資安、開發，與維運團隊的最佳實務 2024臺灣資安大會Copyright©2024DocutekSolutions.Allrightsreserved.|‹#› 2024/5/14 林皇興LambertLin VP/CISSP/達友科技DocutekSolutions(Synopsys新思科技/應用安全方案代理) @臺灣資安大會2024