据外媒报道,近期,涉及全球50多家科技公司由于不安全的DevOps应用程序导致源代码泄漏,其中包括华为海思、联想、微软、高通等。网络安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。
 
但是,作为有史以来最大范围的一次源代码泄漏,不少安全专家对此表示了深深的担忧。基于此,我们对听云运维总监进行了简短的采访。
 
对于这次事件,您有什么看法呢?
 
对Ilia Kolochenko这个说法深表同意,任何应用,没有持续的安全,漏洞会像雪球一样越滚越大,最终引发雪崩。DevOps在引入IT环境中,提升了工作效率,但忽略了安全,只会加速我们的代码贬值。
 
DevOps应用程序是怎样导致源代码泄漏的呢?
 
这个因素有很多,不单是DevOps应用程序,比如我们平时用的操作系统、各种平台软件,都可能存在漏洞。DevOps加速了代码集成和迭代,对安全可能造成的风险点也相应增加。类似代码编写过程中XSS、SQL注入、平行权限校验这些把控不足,可能形成安全风险;一些第三方开源工具的引用管理不到位,没有必要的安全评审,或者是没有持续的安全管理,也会对产品形成安全风险。
 
您认为DevOps应用程序的安全在哪些环节应该引以必要的重视?

 
DevOps贯穿需求、研发、交付的整个过程,其中所涉及到的应用程序安全,又是安全的重中之重。我们在选择DevOps应用程序时,更是要把安全放在一个高亮位置。DevOps应用程序的引用前,首先要做评估,而评估过程中我们更多是关注功能适用,安全满足度却往往被缩小甚至忽视。有的企业在这个环节可能会被直接跳过,使用部门觉得它好用,商务部门觉得它便宜实惠,甚至说开源免费,那就先用上,埋下安全隐患。DevOps应用程序往往是研发或者管理类工具,产品关注的核心是易用性,在一些集成或者测试工具特别是开源的工具中,安全标准的设计门槛也往往会被人为降低。诸如账号密码管理的要求,在密码复杂度、验证多样性这类要求成为一个基准的情况下,在很多开源甚至已经商用的工具中,仍然存在安全保障功能设计的缺失。密码、敏感信息不加密或者是不能加密的情况大量存在。DevOps应用程序在使用过程过,我们更需要适配的规范去管好这些应用。所有的应用都在演变,每天都在发布新的版本,在功能完善的同时,安全也需要关注和跟进。很简单的道理,在选型评审阶段安全的应用,在使用阶段未必是安全的。一些使用了第三方开源的应用程序,更需要注意变化。每天都会有大量的漏洞在披露,每天也都会有大量的漏洞被利用,不及时修复,就有可能造成安全风险。DevOps应用厂家在提供服务的过程中,也存在良莠不齐的现象,安全响应和修复能力存在很大的差异。优秀的服务,可以及时通过各类渠道发布、修复安全漏洞,会定期对自身产品的安全性进行评估,但实际场景中,带病裸奔的情况也屡见不鲜。
 
听云对产品的安全性是怎样保证的呢?
 
听云从最开始推进第一款产品的时候,就已经将安全放在了产品整体体系当中。近几年随着SaaS服务推广,更是将安全提升到战略的高度。除了按照信息安全、服务安全的标准要求构建体系,更将生产过程纳入安全管理范畴。产品设计过程中,听云要求所有的需求设计、研发设计都要做安全评审,必要的环节做威胁建模。先去预设风险,再做应用方案,过程验证,保证措施落地。代码研发过程中,听云制订了严格的安全编码规范,对SQL语句、数据存储、传输过程等等都进行规范化管理,提出高标准的安全要求,从代码层先去屏蔽可能存在的SQL注入、平行权限、XSS这些常见的安全漏洞。测试过程严格按照安全基线要求编制测试用例,由客户需求、第三方组件、历史继承性等不同方面输出相应的测试样例。听云在产品发版前,集成测试环节会进行单独安全检测,产品必须经过病毒、端口安全检查、web安全、应用安全、代码安全工具的全面检测,存在已知的安全漏洞必须经过整改。总之,产品发版前,听云要确保产品是安全的。在交付后,听云有专门的团队,跟踪产品的安全,除了会组织第三方安全服务商定期对产品进行各类安全风险评测,更建有完整产品软件信息库,对已知的安全漏洞有相应的修复标准要求,能够快速发现和响应安全漏洞在产品使用中的风险。在使用过程中,听云的产品也是可以信赖的。
 
安全是亘古不变的话题,无论哪种企业,哪种行业,安全永远是排在第一位的问题,而听云在APM领域多年,很多重点客户在合作之前都会做安全合规检查,而听云在此类检查中经受住了考验,听云在安全方面,是值得信赖的不二之选。