只要实施得当,DevOps足以给各类企业组织带来丰厚的回报,如提高团队合作效果、加快产品上市速度、提高整体效率、提高客户满意度等。但是,如果不认真考虑安全保障,上述所有积极因素都不能真正转化为收入。忽视安全问题,利用一切DevOps改进工作流程的努力将白费。DevSecOps有望解决这一困境。
在本文中,我们将共同了解各种知识DevSecOps实施步骤及其常见误区。
在DevOps在软件开发生命周期出现之前,企业组织只是(SDLC)在产品安全检查的最后阶段。由于重点主要集中在应用程序开发上,相当于变相识别安全性不如其他环节重要。当工程师进行安全检查时,产品的大部分开发过程已经结束,所以即使发现了安全缺陷,也意味着无数行代码必须重写——这无疑是一项费力费时的任务。正因为如此,企业在这个时候往往会选择修理和拖延。换句话说,安全已经成为一种“安慰剂”,而不是真正值得大力推进和投资的重要工作。
过去十年,IT基础设施经历了巨大的变化。然而,大多数安全和合规监控工具并没有同时升级。最终的结果是,大多数工具不能遵循典型的基础DevOps需要快速测试代码。
此外,网络犯罪攻击以惊人的速度不断扩大。Juniper Research报告预测,随着越来越多的业务基础设施相互连接,2020年单次数据泄露造成的平均损失将超过1.5亿美元。
很明显,实施DevSecOps它将带来直接和积极的影响,成为我们抵御潜在攻击挑战的稳定盾牌。
安全贯穿DevOps在流程的各个阶段
“不仅要快速交付代码,还要确保代码的安全”,这听起来像是一种矛盾的要求。DevSecOps表示偏不信这个邪。
DevSecOps是一种以“安全生产,人人负责”的立场处理IT安全工作方法。它要求将安全实践纳入其中DevOps在管道中,希望实现各软件开发环节安全保障的全面渗透。然而,这种全过程保护方法显然与传统的只关注软件开发生命周期最后阶段安全的方法相冲突。
若企业已在推进DevOps,然后考虑转向DevSecOps一定是个好主意。DevSecOps的核心与DevOps原则高度一致,因此转换工作并不特别困难。通过转型,企业可以聚集来自不同学科的技术人员,全面加强现有的安全过程。
DevSecOps的常见误区
DevSecOps也有很多误解。”我们需要‘超级开发者’才能实现DevSecOps“。事实并非如此。DevSecOps实施不需要那种“超级英雄”级别的开发人员。只要配合适当的技术和概念培训,充分引导员工DevSecOps给予关注,每个人都能成为这股浪潮中的潮流引领者。DevSecOps因此,开发团队应该吸收具有不同技能的人员,并为他们提供信息DevSecOps流程和方法的培训课程最终与整个产品交付管道相匹配。因此,只要培养现有团队,就不需要雇佣新的独立军团。
另一个常见的误解是,”DevSecOps可替代敏捷化“。其实DevSecOps只是对敏捷化做出了补充,但本身并不可替代敏捷化。二者必须共存,才能保证企业最大限度提升自身业务收益。敏捷化强调促进协作并持续反馈,但与DevSecOps不同的是,敏捷性不涉及软件测试和质量保证(QA)生产等环节。DevSecOps现有业务流程需要通过敏捷有业务流程。
第三个误区是,”愿意花钱就能实现DevSecOps“。不是。我们能买的只是流程工具,比如发布管理和CI/CD工具,但不能直接买整个工具DevSecOps流程。DevSecOps它代表了一种哲学和方法论。真正直接影响业务的是团队之间的高效合作和团队成员的责任感,不能直接购买。
越来越多的企业意识到DevSecOps的重要性,DevSecOps工程师也越来越受到人才市场的追捧。那么,最好的工程师应该具备哪些特点呢?DevSecOps工程师角色本身必须掌握一些补充技能,比如DevOps对核心原则、实践和文化倾向的深刻理解。候选人还应掌握Python、Java及Ruby等语言。此外,优秀的DevSecOps工程师还应该能轻松运用Chef、Puppet、Checkmarx以及ThreatModeler等程序。
除此之外,DevSecOps专业人士还需要了解风险评估和威胁建模技术的复杂性,以及最新的网络安全威胁、现代最佳实践和其他相关软件。在工作经验层面DevSecOps当然,经验是最好的。IT安全(不涉及DevOps)经验也足以支撑DevSecOps工程师敏锐的安全嗅觉。
DevSecOps优秀实践
在DevSecOps这些因素在规划和实施过程中起着重要作用:
首先,安全编码实践。安全编码的意义在于开发具有较高安全漏洞抵抗力的软件。非安全编码实践可能会导致各种软件安全风险,如泄露企业组织中的秘密信息。因此,最重要的是确保开发人员有足够的技能储备,并积极支持时间和成本投资。此外,企业还应建立并遵循编码标准,以帮助开发人员编写更多高质量的代码。
第二,拥抱自动化。DevOps自动化是一样的DevSecOps它也很重要。CI/CD在环境中,安全速度与代码交付速度相匹配,安全也必须进入自动化的新时代。没有这个前提,大型企业组织就无法有效地保护开发者每天提交的大量代码版本。
我们必须充分考虑自动化安全测试。选择错误的自动化工具可能会带来巨大的伤害。静态应用程序安全测试(SAST)该工具目前广泛应用于开发周期早期的持续检测和问题识别方案。只有根据实际需要选择合适的安全自动化工具,才能真正有效地保证产品的顺利交付。
第三,左移法。左移试验方法的核心是在周期开始时将安全性集成到应用程序中,而不是等待交付链最后阶段的到来。这种方法的主要优点是加快潜在漏洞的识别,并立即解决。虽然这种方法本身有很多好处,但它也会带来很多隐患。左移法的一个常见挑战是暂时中断现有DevOps工作流程。这确实是一个问题,但如果企业决定采用它DevSecOps,从长远来看,左称方法仍然是不可或缺的最佳实践。
第四,人员、流程和技术。DevSecOps在成功实施方面,人员、流程和技术是三位一体的,缺一不可。即使其他条件完整,如果员工对文化创新不感兴趣,也会成熟有效DevSecOps环境是不可能的。虽然可能很难说服高级管理团队接受如此重大的变化,但由于安全形势恶劣而频繁引起的重大数据泄露事件应引起高度重视。因此,除了安全专家的指导外,还应尽可能发展安全支持者DevSecOps良好的操作也很重要。
任何过程都由多个环节组成,其中最重要的是工作流程的标准化和文档化。一般来说,企业组织中的每个团队都需要执行不同的流程,DevSecOps团队需要共同协商统一流程,通过协同实施加强开发周期的安全水平。同时,技术可以帮助人们有效地执行DevSecOps具体实践中涉及的常用技术包括自动化与配置管理、安全代码、自动合规扫描、主机强化等。
如何实施DevSecOps
可以想见,DevSecOps实施将是一个复杂的过程。我们现在将这个过程分解成以下具体步骤。虽然没有具体连续的路线图式步骤设计,但大多涵盖以下环节。
首先,一切都是从规划开始的。规划的战略水平和简洁度将直接决定最终的实施结果。因此,仅仅描述功能特征还远远不够。专家还需要建立测试验收标准、用户设计和威胁模型。下一阶段是开发环节。团队应首先评估现有实践的成熟度。在这个阶段,您可以通过多个来源收集资源作为路线指导或建立起码审查系统。由此支持的统一结构将成为DevSecOps后期成功的重要基础。
然后是施工环节,自动化施工工具无疑是现阶段的绝对主导作用。使用此类工具,我们可以构建脚本,将源代码组合成机器代码。自动化施工工具不仅提供了各种强大的功能和丰富的插件库,而且还提供了各种易于使用的用户界面,其中一些甚至可以自动检测易受攻击的库并及时更换。下一步是通过稳定可靠的测试实践,将强大的自动化测试框架全面引入管道。部署通常是通过IaC自动执行工具,加快软件交付。
运营维护作为另一个关键步骤,无疑是运营团队的常规功能。考虑到零日漏洞可能造成的巨大威胁,运营团队必须注意;此外,运营团队还需要注意人为错误的传播,包括使用DevSecOps通过IaC工具快速有效地保护企业自身的基础设施。该过程中的另一个重要因素是使用强大而可持续的监控工具,以确保安全系统以预期的形式运行。
规模扩张也不容忽视。虚拟化技术的出现意味着企业不再需要浪费资源来维护大型数据中心。相反,企业可以直接扩大任何威胁IT消化突发冲击的基础设施规模。
以上只是DevSecOps实施中的一些基础步骤。根据项目的具体规模与复杂性,路线图可能还需要涵盖另外一些特定附加步骤。
DevSecOps挑战
当然,DevSecOps实施也必然伴随着一系列挑战。
阻碍大多数企业转向DevSecOps毕竟,人们更喜欢呆在熟悉的舒适区。此外,在传统的软件开发模式中,安全性更多“马后炮”谈话比什么都好。
此外,DevSecOps还强调开发人员和安全专家的统一,共同建立合作环境。但这两个团队之间总是有一定程度的摩擦,甚至相信对方总是反对自己。这种观点导致了两者“老死不相往来”,直接违背了DevSecOps核心原则。只有改变这两端,才能让DevSecOps企业文化思维发展成熟,开花结果。
另一个常见的挑战是,人们经常相信安全会减缓工作,甚至阻碍创新尝试。为了满足现代业务的需求,开发人员希望不断加快代码的交付。然而,安全团队的核心重点是确保代码安全,这两个完全不同的目标使团队难以相互理解和合作。
根据Cybersecurity Ventures到2021年,全球网络安全职位空缺将达到350万。可以推断,尽管安全漏洞和攻击事件不断增多,但市场上仍缺乏足够的网络安全工程师。因此,安全专家的稀缺很可能成为中小企业的一个巨大问题。
与开发和安全团队之间的合作不同,运营和安全相结合的复杂性往往更高。对于前两者,我们只需要教开发人员最好的安全实践,并引导他们与安全团队密切合作。虽然这一切确实会改变开发人员的一些日常习惯,但总的来说并没有太大的变化。但当试图引导运营团队与安全团队合作时,情况完全不同。当运营工程师发现任何异常时,他们往往不会考虑安全漏洞。对他们来说,最大的隐患它通常来自于软件配置错误或基础设施故障。但对于安全团队来说,异常会本能地意识到潜在的漏洞。因此,操作工程师必须重新调整他们对操作环境的分析方法。
DevSecOps的助益
DevSecOps最重要、最明显的好处是帮助提高整体安全性。如前所述,可在管道早期发现漏洞,降低维修难度。而且由于持续监控到位,DevSecOps它还可以增强威胁搜索的能力。从商业角度看,产品安全性越高,营销难度越低。
从SDLC搜索漏洞的初始阶段意味着它可以以更低的成本修复。许多团队将聚集在一起处理安全问题,以提高问责能力。这种合作也有助于提出更快、更有效的安全响应策略,然后建立更强大的安全设计模式。
DevSecOps它还最大限度地减少了安全瓶颈的频率。安全专家不必等待开发周期在运行安全检查前完成。这两个因素进一步加快了产品的交付。
DevSecOps它还可以帮助企业更好地遵守行业标准法规。《通用数据保护条例》(GDPR)法律法规要求人们以更谨慎的态度处理数据。DevSecOps以框架的形式降低合规难度,为管理者提供更全面的合规要求印象。
小结
毫无疑问,DevSecOps它将彻底改变企业的安全实现方式。但由于各种原因,包括缺乏正确性DevSecOps对本质的正确认识、对员工的消极态度、有限的预算和含糊不清的术语定义中小企业DevSecOps仍然持怀疑态度。
但必须承认,DevSecOps有能力从技术和业务层面给企业带来巨大的帮助。尽管在起步阶段总会出现一些小问题,但从长远来看,DevSecOps实施将帮助企业一步步重生,帮助迎来一条不可想象的发展道路。