AI 时代的企业级安全合规策略-极狐GitLab

本文来源：about.gitlab.com 作者：Grant Hickman

在应用程序敏捷研发、敏捷交付的今天，让安全人员跟上研发的脚步是一件充满挑战的事情。此外，安全人员还面临其他挑战，比如领导者会忽视安全在软件研发过程中的重要性以及对研发和安全人员配比进行错误配置。随着 AI 时代的到来，这一情况可能会更加恶化。因为在 AI 时代，随着企业规模的扩大，软件研发的速度可能会越来越快。因此，用来治理软件研发流程中安全合规的工具也必须得到相应的增长和发展。

应用程序安全团队需要能够有效地管理漏洞并明确漏洞的优先级。借助极狐GitLb 安全策略并辅以对应的安全工具，组织可以促进应用程序安全团队和研发团队之间的高效协作，让漏洞的检测、分类及修复变得高效且有效。安全策略还能够提供一种自动执行安全合规并在企业内部对安全合规进行高效管理的机制。

虽然尽早扫描能够发现更多潜在的安全风险，但是大量的数据可能会让安全团队不知所措，而且难以确定应该如何采取正确的行动来解决这些问题。

漏洞分类管理的流程

如今，有一些常见的方法来进行漏洞的分类管理，诸如：

通用漏洞评分系统（Common Vulnerability Scoring System，即 CVSS）：CVSS 提供了一个标准的方法来评估漏洞的严重程度。通过利用 CVSS 的评分，组织能够根据漏洞的潜在影响来对漏洞进行优先级排序并且分配对应的资源。
基于风险的评分（Risk-based scoring）：基于风险的评分允许组织根据漏洞被利用的可能性以及对业务的潜在影响来对漏洞进行评分。通过考虑资产价值、威胁行为者的能力以及漏洞利用的普遍性等背景因素，组织者能够有效地确定漏洞的优先级。
威胁建模（Threat Modeling）：威胁建模是一种能够识别和评估应用程序或系统中潜在威胁的方法。通过对系统的架构、数据流以及潜在的攻击向量进行全面分析，组织可以根据漏洞与可能发生的威胁对漏洞进行优先级排序。这种方法能够让资源的分配更加高效合理，因为它能够聚焦在那些看起来更容易暴露的漏洞上。
业务影响分析（Business Impact Analysis，即 BIA）：BIA 是一种用于评估漏洞对业务运营和目标产生潜在影响的技术。它涉及到识别关键资产、评估对组织的重要性以及量化被成功攻击之后带来的潜在后果。通过考虑对于经济、名声以及组织运营带来的影响，组织可以优先考虑对其核心业务功能构成最大风险的漏洞进行处理。

随着生成式人工智能生成代码的激增，由此而引入的漏洞数量也会相应激增。诸如此类的技术对于帮助企业进行漏洞分类及了解如何确定漏洞优先级来说是至关重要的。

安全策略管理

安全策略是将业务级策略和合规性要求分解为切实可行的操作指令，并将其融入到组织的 DevSecOps 实践及保障软件开发全生命周期安全的答案。通过借助极狐GitLab 安全策略创建的规则，组织可以定义漏洞评估的细粒度标准，确保只有那些具备可操作性的漏洞才被标记，表明需要进一步的关注。

安全策略允许在代码层面对安全合规进行落地实践。扫描执行策略强制扫描器根据用户的需求来在特定的项目中进行安全扫描，确保代码在被合并到生产之前检测到相应的漏洞和风险。

你还可以利用扫描结果策略来自定义工作流以便解决安全漏洞。这些策略通过评估安全合规扫描器的结果来阻止或阻塞合并请求的合入，除非这些漏洞已经根据自定义的规则进行了完整的审核并且得到了批准。

通过使用扫描结果策略和扫描执行策略，增强了软件研发过程的可视化。这可以确保人类编写的代码或 AI 生成的代码会进行自动扫描，而且配置的策略是鼓励研发团队和安全团队进行有效协作的。

在扫描结果策略中定义细粒度的规则

进一步来讲，你可以基于下面分享的过滤器或者属性来在扫描结果策略中定义细粒度的规则。这些规则能够帮助你确定哪些漏洞的修复是具备可操作性的：

漏洞状态：可以根据漏洞的状态进行安全策略制定，通常聚焦在那些新发现且需要分类管理的漏洞上。还可以以之前检测到的漏洞（在给定的严重程度下检测到）为基础来创建安全策略规则，比如包含/排除已经被忽略的漏洞。
分支：仅对特定分支进行强制扫描，例如将强制扫描集中在关键项目的默认分支或者任何受保护的分支上。
可用修复：从依赖项扫描和容器镜像扫描中筛选出无法修复的安全漏洞。这些通常取决于第三方组件的上游更改，但是目前并没有具体的解决方案。可以从漏洞页面来创建议题，并在截止日期内进行追踪，以便在有可用的修复方案时对这些问题进行修复。
假阳性：当极狐GitLab 扫描器认为某个漏洞是假阳性时（通过容器镜像扫描或依赖项扫描），我们会在漏洞上进行状态标注。然后安全策略就能利用这个信息来从安全策略的整体视角对假阳性漏洞进行过滤，从而允许安全工程师和开发人员忽略这些漏洞进而完成代码的合并。当然，如果需要进一步的分析的话，还是可以在漏洞报告中找到该漏洞。
SLA：有时，组织会对低风险漏洞有一定的容忍度，但是需要在合理的 SLA 期内有明确的修复计划。有了安全策略，你可以基于漏洞的严重程度来设置 SLA，比如对于 SLA 为 60 天（可以在带有截止日期的后续问题中进行解决）的情况下来讲，中等漏洞的合并不需要获得审批。但是如果漏洞在 60 天的 SLA 期限内还没有解决，就会阻止合并请求并且需要修复该漏洞。

有效考虑整个组织中的关键漏洞

处理大量漏洞时的一个常用方法是从小处出发并且优先考虑在组织内发现的关键漏洞。漏洞管理分类 SLA 通过基于漏洞的严重程度来在给定的 SLA 内，通过定义解决漏洞的规则来帮助你实现这一切。

确保职责分离

安全策略的管理有好几种方法，但最好的是在独立的极狐GitLab 项目中进行管理，以及确保安全人员和研发人员之间的职责分离。策略以 YAML 文件的形式进行存储。这种策略即代码的方式能够赋能安全团队并且带来多种好处，比如任何变更的 Git 提交历史以提高可见性、更轻松的回滚破坏性更改的版本控制、任何策略变更所需要的审批、通过极狐GitLab 事件审计进行安全审计以及可以分享给审计者的集中控制等。

尝试组合拳

管理不断增加的漏洞需要一种精确的方法，以便能够在完全扫描和高效分类及修复之间取得平衡。极狐GitLab 的安全策略提供了一种很好的解决方案，能够加强团队协作、在自定义策略规则上提供足够的灵活性以及提供一种精确实施业务需求和落地安全合规的方法。通过利用极狐GitLab 安全工具，并使用自定义的过滤器和属性，组织能够简化漏洞的管理并且聚焦在重点漏洞的修复解决上，最终加强企业的安全能力，满足行业的安全合规需求。尽管生成式人工智能生成的代码会令人担忧，但是安全管理的 PPT 模型依旧生效（People，Process，Technology）。通过将安全策略融入到业务流程中，就能够很好的构建良好的安全合规体系。

除了使用安全策略来大规模实施安全即代码外，极狐GitLab DevSecOps 平台还提供了一整套的安全工具。在今年发布的 2023 全球 DevSecOps 报告中显示，57% 的安全专业人员表示他们在研发过程中使用了 6 个以上的安全工具，69% 的安全专业人员表示想整合他们的复杂工具链。工具链的整合是众多 CISO 正在考虑的话题，而极狐GitLab 能够帮助减少多工具链带来的种种问题。极狐GitLab 提供多种安全扫描解决方案——静态应用程序安全测试（包括对基础设施即代码的扫描）、密钥检测、动态应用程序安全测试（包括对 API）、依赖项扫描以及 API 安全测试。极狐GitLab 还能通过动态漏洞报告为应用程序安全团队提供漏洞管理。此外，极狐GitLab 还提供安全合规框架、合规遵守报告以及安全审计来保障应用程序研发过程的安全合规。

更多详情可以查看极狐GitLab 应用程序安全防护体系官网文档。