AI 时代的企业级安全合规策略

目录

漏洞分类管理的流程

安全策略管理

在扫描结果策略中定义细粒度的规则

有效考虑整个组织中的关键漏洞

确保职责分离

尝试组合拳


本文来源:about.gitlab.com

作者:Grant Hickman

在应用程序敏捷研发、敏捷交付的今天,让安全人员跟上研发的脚步是一件充满挑战的事情。此外,安全人员还面临其他挑战,比如领导者会忽视安全在软件研发过程中的重要性以及对研发和安全人员配比进行错误配置。随着 AI 时代的到来,这一情况可能会更加恶化。

因为在 AI 时代,随着企业规模的扩大,软件研发的速度可能会越来越快。因此,用来治理软件研发流程中安全合规的工具也必须得到相应的增长和发展。

应用程序安全团队需要能够有效地管理漏洞并明确漏洞的优先级。借助极狐GitLab 安全策略并辅以对应的安全工具,组织可以促进应用程序安全团队和研发团队之间的高效协作,让漏洞的检测、分类及修复变得高效且有效。安全策略还能够提供一种自动执行安全合规并在企业内部对安全合规进行高效管理的机制。

虽然尽早扫描能够发现更多潜在的安全风险,但是大量的数据可能会让安全团队不知所措,而且难以确定应该如何采取正确的行动来解决这些问题。

漏洞分类管理的流程


如今,有一些常见的方法来进行漏洞的分类管理,诸如:

  • 通用漏洞评分系统(Common Vulnerability Scoring System,即 CVSS):CVSS 提供了一个标准的方法来评估漏洞的严重程度。通过利用 CVSS 的评分,组织能够根据漏洞的潜在影响来对漏洞进行优先级排序并且分配对应的资源。

  • 基于风险的评分(Risk-based scoring):基于风险的评分允许组织根据漏洞被利用的可能性以及对业务的潜在影响来对漏洞进行评分。通过考虑资产价值、威胁行为者的能力以及漏洞利用的普遍性等背景因素,组织者能够有效地确定漏洞的优先级。

  • 威胁建模(Threat Modeling):威胁建模是一种能够识别和评估应用程序或系统中潜在威胁的方法。通过对系统的架构、数据流以及潜在的攻击向量进行全面分析,组织可以根据漏洞与可能发生的威胁对漏洞进行优先级排序。这种方法能够让资源的分配更加高效合理,因为它能够聚焦在那些看起来更容易暴露的漏洞上。

  • 业务影响分析(Business Impact Analysis,即 BIA):BIA 是一种用于评估漏洞对业务运营和目标产生潜在影响的技术。它涉及到识别关键资产、评估对组织的重要性以及量化被成功攻击之后带来的潜在后果。通过考虑对于经济、名声以及组织运营带来的影响,组织可以优先考虑对其核心业务功能构成最大风险的漏洞进行处理。

随着生成式人工智能生成代码的激增,由此而引入的漏洞数量也会相应激增。诸如此类的技术对于帮助企业进行漏洞分类及了解如何确定漏洞优先级来说是至关重要的。

安全策略管理


安全策略是将业务级策略和合规性要求分解为切实可行的操作指令,并将其融入到组织的 DevSecOps 实践及保障软件开发全生命周期安全的答案。通过借助极狐GitLab 安全策略创建的规则,组织可以定义漏洞评估的细粒度标准,确保只有那些具备可操作性的漏洞才被标记,表明需要进一步的关注。

安全策略允许在代码层面对安全合规进行落地实践。扫描执行策略强制扫描器根据用户的需求来在特定的项目中进行安全扫描,确保代码在被合并到生产之前检测到相应的漏洞和风险。

你还可以利用扫描结果策略来自定义工作流以便解决安全漏洞。这些策略通过评估安全合规扫描器的结果来阻止或阻塞合并请求的合入,除非这些漏洞已经根据自定义的规则进行了完整的审核并且得到了批准。

通过使用扫描结果策略和扫描执行策略,增强了软件研发过程的可视化。这可以确保人类编写的代码或 AI 生成的代码会进行自动扫描,而且配置的策略是鼓励研发团队和安全团队进行有效协作的。

在扫描结果策略中定义细粒度的规则

进一步来讲,你可以基于下面分享的过滤器或者属性来在扫描结果策略中定义细粒度的规则。这些规则能够帮助你确定哪些漏洞的修复是具备可操作性的:

  • 漏洞状态:可以根据漏洞的状态进行安全策略制定,通常聚焦在那些新发现且需要分类管理的漏洞上。还可以以之前检测到的漏洞(在给定的严重程度下检测到)为基础来创建安全策略规则,比如包含/排除已经被忽略的漏洞。

  • 分支:仅对特定分支进行强制扫描,例如将强制扫描集中在关键项目的默认分支或者任何受保护的分支上。

  • 可用修复:从依赖项扫描和容器镜像扫描中筛选出无法修复的安全漏洞。这些通常取决于第三方组件的上游更改,但是目前并没有具体的解决方案。可以从漏洞页面来创建议题,并在截止日期内进行追踪,以便在有可用的修复方案时对这些问题进行修复。

  • 假阳性:当极狐GitLab 扫描器认为某个漏洞是假阳性时(通过容器镜像扫描或依赖项扫描),我们会在漏洞上进行状态标注。然后安全策略就能利用这个信息来从安全策略的整体视角对假阳性漏洞进行过滤,从而允许安全工程师和开发人员忽略这些漏洞进而完成代码的合并。当然,如果需要进一步的分析的话,还是可以在漏洞报告中找到该漏洞。

  • SLA:有时,组织会对低风险漏洞有一定的容忍度,但是需要在合理的 SLA 期内有明确的修复计划。有了安全策略,你可以基于漏洞的严重程度来设置 SLA,比如对于 SLA 为 60 天(可以在带有截止日期的后续问题中进行解决)的情况下来讲,中等漏洞的合并不需要获得审批。但是如果漏洞在 60 天的 SLA 期限内还没有解决,就会阻止合并请求并且需要修复该漏洞。

图片

有效考虑整个组织中的关键漏洞

处理大量漏洞时的一个常用方法是从小处出发并且优先考虑在组织内发现的关键漏洞。漏洞管理分类 SLA 通过基于漏洞的严重程度来在给定的 SLA 内,通过定义解决漏洞的规则来帮助你实现这一切。

确保职责分离

安全策略的管理有好几种方法,但最好的是在独立的极狐GitLab 项目中进行管理,以及确保安全人员和研发人员之间的职责分离。策略以 YAML 文件的形式进行存储。这种策略即代码的方式能够赋能安全团队并且带来多种好处,比如任意变更的 Git 提交历史可以提高可见性、能够更轻松的回滚那些具有破坏性的变更、任意策略变更所需要的审批、通过极狐GitLab 事件审计进行安全审计以及可以分享给审计者的集中管控等。

图片

尝试组合拳


管理不断增加的漏洞需要一种精确的方法,以便能够在完全扫描和高效分类及修复之间取得平衡。极狐GitLab 的安全策略提供了一种很好的解决方案,能够加强团队协作、在自定义策略规则上提供足够的灵活性以及提供一种精确实施业务需求和落地安全合规的方法。

通过利用极狐GitLab 安全工具,并使用自定义的过滤器和属性,组织能够简化漏洞的管理并且聚焦在重点漏洞的修复解决上,最终加强企业的安全能力,满足行业的安全合规需求。尽管生成式人工智能生成的代码会令人担忧,但是安全管理的 PPT 模型依旧生效(People,Process,Technology)。通过将安全策略融入到业务流程中,就能够很好的构建良好的安全合规体系。

除了使用安全策略来大规模实施安全即代码外,极狐GitLab DevSecOps 平台还提供了一整套的安全工具。在今年发布的 2023 全球 DevSecOps 报告中显示,57% 的安全专业人员表示他们在研发过程中使用了 6 个以上的安全工具,69% 的安全专业人员表示想整合他们的复杂工具链。

工具链的整合是众多 CISO 正在考虑的话题,而极狐GitLab 能够帮助减少多工具链带来的种种问题。极狐GitLab 提供多种安全扫描解决方案——静态应用程序安全测试(包括对基础设施即代码的扫描)、密钥检测、动态应用程序安全测试(包括对 API)、依赖项扫描以及 API 安全测试。

极狐GitLab 还能通过动态漏洞报告为应用程序安全团队提供漏洞管理。此外,极狐GitLab 还提供安全合规框架、合规遵守报告以及安全审计来保障应用程序研发过程的安全合规。

更多详情可以查看极狐GitLab 应用程序安全防护体系官网文档。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/186304.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

EasyExcel 导出冻结指定行

导出的实体类 package org.jeecg.modules.eis.test;import com.alibaba.excel.annotation.ExcelProperty; import com.alibaba.excel.annotation.write.style.*; import lombok.Getter; import lombok.Setter; import org.apache.poi.ss.usermodel.HorizontalAlignment;import…

pytorch复现_UNet

什么是UNet U-Net由收缩路径和扩张路径组成。收缩路径是一系列卷积层和汇集层,其中要素地图的分辨率逐渐降低。扩展路径是一系列上采样层和卷积层,其中特征地图的分辨率逐渐增加。 在扩展路径中的每一步,来自收缩路径的对应特征地图与当前特征…

css设置浏览器表单自动填充时的背景

浏览器自动填充表单内容,会自动设置背景色。对于一般的用户,也许不会觉得有什么,但对于要求比较严格的用户,就会“指手画脚”。这里,我们通过css属性来设置浏览器填充背景的过渡时间,使用户看不到过渡后的背…

win10下.net framework 3.5 | net framework 4 无法安装解决方案

.net缺失解决方案 win10 .net framework 3.5组策略设置方案一方案二 win10 .net framework 4 参考文章 win10 .net framework 3.5 组策略设置 方案一 搜索组策略,依次展开“计算机配置”、“管理模板”,然后选择“系统”,找到指定可选组件…

Leetcode2246. 相邻字符不同的最长路径

Every day a Leetcode 题目来源:2246. 相邻字符不同的最长路径 解法1:树形 DP 如果没有相邻节点的限制,那么本题求的就是树的直径上的点的个数,见于Leetcode543. 二叉树的直径。 考虑用树形 DP 求直径。 枚举子树 x 的所有子…

如何让群晖Audio Station公开共享的本地音频公网可访问?

文章目录 1. 本教程使用环境:2. 制作音频分享链接3. 制作永久固定音频分享链接: 之前文章我详细介绍了如何在公网环境下使用pc和移动端访问群晖Audio Station: 公网访问群晖audiostation听歌 - cpolar 极点云 群晖套件不仅能读写本地文件&a…

Go基础知识全面总结

文章目录 go基本数据类型bool类型数值型字符字符串 数据类型的转换运算符和表达式1. 算数运算符2.关系运算符3. 逻辑运算符4. 位运算符5. 赋值运算符6. 其他运算符运算符优先级转义符 go基本数据类型 bool类型 布尔型的值只可以是常量 true 或者 false。⼀个简单的例⼦&#…

竞赛选题 深度学习猫狗分类 - python opencv cnn

文章目录 0 前言1 课题背景2 使用CNN进行猫狗分类3 数据集处理4 神经网络的编写5 Tensorflow计算图的构建6 模型的训练和测试7 预测效果8 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 🚩 **基于深度学习猫狗分类 ** 该项目较为新颖&a…

Python基础教程之十六:Python multidict示例–将单个键映射到字典中的多个值

1.什么是multidict词典> 在python中,“ multidict ”一词用于指代字典,在字典中可以将单个键映射到多个值。例如 多重结构 multidictWithList {key1 : [1, 2, 3],key2 : [4, 5]}multidictWithSet {key1 : {1, 2, 3},key2 : {4, 5}}1. list如果要…

内核移植笔记 Cortex-M移植

常用寄存器 PRIMASK寄存器 为1位宽的中断屏蔽寄存器。在置位时,它会阻止不可屏蔽中断(NMI)和HardFault异常之外的所有异常(包括中断)。 实际上,它是将当前异常优先级提升为0,这也是可编程异常/…

uniapp使用vue3和ts开发小程序自定义tab栏,实现自定义凸出tabbar效果

要实现自定义的tabbar效果,可以使用自定义tab覆盖主tab来实现,当程序启动或者从后台显示在前台时隐藏自带的tab来实现。自定义一个tab组件,然后在里面实现自定义的逻辑。 组件中所使用的组件api可以看:Tabbar 底部导航栏 | uView…

Centos7下搭建H3C log服务器

rsyslogH3C 安装rsyslog服务器 关闭防火墙 systemctl stop firewalld && systemctl disable firewalld关闭selinux sed -i s/enforcing/disabled/ /etc/selinux/config && setenforce 0centos7服务器,通过yum安装rsyslog yum -y install rsysl…

【uniapp】六格验证码输入框实现

效果图 代码实现 <view><view class"tips">已发送验证码至<text class"tips-phone">{{ phoneNumber }}</text></view><view class"code-input-wrap"><input class"code-input" v-model"…

AI:75-基于生成对抗网络的虚拟现实场景增强

🚀 本文选自专栏:AI领域专栏 从基础到实践,深入了解算法、案例和最新趋势。无论你是初学者还是经验丰富的数据科学家,通过案例和项目实践,掌握核心概念和实用技能。每篇案例都包含代码实例,详细讲解供大家学习。 📌📌📌在这个漫长的过程,中途遇到了不少问题,但是…

[量化投资-学习笔记008]Python+TDengine从零开始搭建量化分析平台-CCI和ATR

目录 1. 指标简介CCIATR 2. 程序编写题外话 1. 指标简介 将这两个指标放在一起&#xff0c;一方面是因为这两个指标都属于摆动指数&#xff0c;可以反应市场的活跃度。 另一方面是因为CCI和ATR与之前提到的EMA,MACD,布林带的三个指标的计算基础不同。之前的三个指标都是以收盘…

坐标系转换(仅作记载)

一.极坐标转换为普通坐标系 参考&#xff1a;极坐标方程与直角坐标方程的互化 - 知乎 (zhihu.com) 公式&#xff1a;&#xff08;无需考虑象限引起的正负问题&#xff09; 普通坐标系转换为极坐标系 参考&#xff1a; 极坐标怎么与直角坐标系相互转化&#xff1f; - 知乎 (zh…

Docker本地镜像发布到阿里云或私有库

本地镜像发布到阿里云流程 &#xff1a; 1.自己生成个要传的镜像 2.将本地镜像推送到阿里云: 阿里云开发者平台:开放云原生应用-云原生&#xff08;Cloud Native&#xff09;-云原生介绍 - 阿里云 2.1.创建仓库镜像&#xff1a; 2.1.1 选择控制台&#xff0c;进入容器镜像服…

如何在Linux上部署1Panel运维管理面板并远程访问内网进行操作

文章目录 前言1. Linux 安装1Panel2. 安装cpolar内网穿透3. 配置1Panel公网访问地址4. 公网远程访问1Panel管理界面5. 固定1Panel公网地址 前言 1Panel 是一个现代化、开源的 Linux 服务器运维管理面板。高效管理,通过 Web 端轻松管理 Linux 服务器&#xff0c;包括主机监控、…

广和通5G模组FM650助力阿里云打造无影魔方Pro

随着云基础设施的完善及云电脑体验的不断优化&#xff0c;越来越多的个人和企业选择无影云电脑进行办公。基于云原生的云网端技术架构&#xff0c;无影云电脑相比传统PC&#xff0c;具有弹性、安全、保障个人数据等产品优势。 10月31日&#xff0c;阿里云在杭州云栖大会上宣布…