如何在DevSecOps道路上快速、安全地抵达终点
作者 | 吳翔
責(zé)編 | 晉兆雨
出品 |?CSDN云計(jì)算
頭圖 | 付費(fèi)下載于視覺中國(guó)
近年來,移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展給人們帶去不少便利,在軟件安全領(lǐng)域內(nèi),一種名為敏捷開發(fā)的模式正悄然流行,而可打破業(yè)務(wù)隔離、提高效率的DevOps(開發(fā)運(yùn)維)也受到了廣泛歡迎。DevOps是開發(fā)(Development)與運(yùn)維(Operations)相結(jié)合的稱呼。在DevOps理念下,軟件開發(fā)人員和運(yùn)維人員緊密合作,以促進(jìn)軟件及應(yīng)用更有效率的進(jìn)行快速迭代。
然而,軟件開發(fā)周期的縮短也帶來了一些弊端。相比擁有更長(zhǎng)開發(fā)周期,為確保軟件穩(wěn)定性與安全性提供充足時(shí)間的傳統(tǒng)開發(fā)模式,敏捷開發(fā)模式由于軟件版本頻繁迭代,開發(fā)周期被壓縮,出現(xiàn)安全漏洞的可能性也就更大。
?
DevSecOps,將安全植入開發(fā)運(yùn)維骨髓
?
據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》稱,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄的安全漏洞數(shù)量創(chuàng)下了歷史新高,同比上年增長(zhǎng)14%,其中應(yīng)用程序漏洞(56.2%)、Web應(yīng)用漏洞(23.3%)和操作系統(tǒng)漏洞(10.3%)占比前三。
?
圖1: 2019 年 CNVD 收錄的安全漏洞占比按影響對(duì)象類型分類統(tǒng)計(jì)(來源:CNCERT/CC)
數(shù)據(jù)背后,無數(shù)教訓(xùn)已讓眾多開發(fā)團(tuán)隊(duì)和企業(yè)意識(shí)到了安全的重要性,以及安全問題所引發(fā)的災(zāi)難性后果。一種全新的開發(fā)理念DevSecOps(開發(fā)安全運(yùn)維),就這樣應(yīng)運(yùn)而生。開發(fā)團(tuán)隊(duì)需要在軟件開發(fā)的整個(gè)生命周期內(nèi)將Sec,即安全(Security)融入DevOps實(shí)踐。要在DevOps里嚴(yán)格地執(zhí)行安全理念和活動(dòng),除了展開定期的安全培訓(xùn)以外,還需要安全團(tuán)隊(duì)進(jìn)行攻防演練等。
要將DevSecOps這種新的組合工作模式付諸實(shí)踐,首先需要所有的團(tuán)隊(duì)及成員都具備嚴(yán)謹(jǐn)?shù)陌踩季S。然而DevSecOps在企業(yè)內(nèi)部的落地往往會(huì)遇到阻力,一是高層領(lǐng)導(dǎo)不給予足夠的重視和支持,業(yè)務(wù)負(fù)責(zé)人也不鼓勵(lì)加強(qiáng)安全措施,二是DevOps實(shí)踐的初衷是加速開發(fā)流程,而加入安全監(jiān)督環(huán)節(jié)則被認(rèn)為與DevOps所追求的高速開發(fā)背道而馳。
如果將軟件產(chǎn)品開發(fā)生命周期比作一段道路,起點(diǎn)是需求分析,終點(diǎn)是產(chǎn)品交付。人們步行抵達(dá)終點(diǎn),猶如采用傳統(tǒng)的軟件開發(fā)模式。而采用DevOps的敏捷模式,利用輔助工具產(chǎn)品及平臺(tái),就好比坐上了一輛車,可以開車快速地抵達(dá)終點(diǎn)。但若車開太快且車速不可控,則很容易發(fā)生安全事故。我們需要的應(yīng)當(dāng)是具備精良速度控制機(jī)制和剎車系統(tǒng)的,安全可靠的載具。
?
AST,多行業(yè)應(yīng)用安全漏洞檢測(cè)不可或缺
?
為了幫助企業(yè)提升產(chǎn)品研發(fā)效率和質(zhì)量,同時(shí)實(shí)現(xiàn)DevOps和Sec兩個(gè)目標(biāo),可在軟件開發(fā)的初期便進(jìn)行介入和預(yù)防,借助工具提升代碼安全檢測(cè)的效率。因此AST(應(yīng)用程序安全漏洞測(cè)試)軟件成為了首要選擇。AST領(lǐng)域包含SAST(靜態(tài)測(cè)試)、DAST(動(dòng)態(tài)測(cè)試)和IAST(交互式測(cè)試)這三類測(cè)試方法。
如果開發(fā)者能在左移測(cè)試(Shift-Left Testing),即在開發(fā)生命周期的初期使用SAST工具,則可以有效地提升代碼檢測(cè)的準(zhǔn)確性和效率,極大地降低時(shí)間、資金、人力等資源的消耗。而市場(chǎng)對(duì)于SAST工具的核心要求便是掃描效率高、速度快、準(zhǔn)確率高。鑒釋目前提供的SAST核心產(chǎn)品就可以有效融入軟件開發(fā)生命周期(SDLC)中,為DevSecOps實(shí)踐提供最大的幫助,鑒釋IAST產(chǎn)品的開發(fā)也正在快速進(jìn)行中。
目前除了IT行業(yè),許多傳統(tǒng)行業(yè),例如金融、能源、工業(yè)、教育、醫(yī)療等都有軟件安全的需求,此時(shí)AST類的工具就該上場(chǎng)了。但面對(duì)多場(chǎng)景的應(yīng)用,安全團(tuán)隊(duì)不應(yīng)該一味照搬公式,而是應(yīng)該像給軟件和代碼做診斷的醫(yī)生一般詳細(xì)地了解、分析應(yīng)用的行業(yè)背景、需求、痛點(diǎn)以及未來計(jì)劃等。缺乏細(xì)致、持續(xù)溝通的解決方案只能解決一時(shí)之急,鑒釋立足于目前核心的SAST產(chǎn)品,細(xì)心打磨自主解決方案,提供更快速、高效、持續(xù)的響應(yīng),已經(jīng)幫助多行業(yè)的開發(fā)團(tuán)隊(duì)安全、快速的走完開發(fā)周期。
除了工具提供的輔助外,團(tuán)隊(duì)上下對(duì)安全的重視程度也相當(dāng)重要。Gitlab今年發(fā)布的第四次全球DevSecOps年度報(bào)告稱,安全團(tuán)隊(duì)不再是“局外人”,開發(fā)和運(yùn)維人員的跨團(tuán)隊(duì)緊密合作達(dá)到了前所未有的程度。“安全”,則變成了團(tuán)隊(duì)每個(gè)成員都應(yīng)該秉持的理念。該報(bào)告數(shù)據(jù)顯示,近30%的受訪者認(rèn)為團(tuán)隊(duì)內(nèi)的每個(gè)人都應(yīng)當(dāng)將軟件安全視作己任,而20%的受訪者認(rèn)為開發(fā)人員也應(yīng)挑起軟件安全的大梁,而不是只拘泥于開發(fā)。
圖2:Gitlab對(duì)于團(tuán)隊(duì)內(nèi)部安全責(zé)任分擔(dān)問題的調(diào)查結(jié)果
該調(diào)查結(jié)果無不標(biāo)志著安全責(zé)任正從原來的安全運(yùn)維團(tuán)隊(duì)逐漸擴(kuò)大至軟件開發(fā)團(tuán)隊(duì)內(nèi)的每個(gè)成員身上,開發(fā)人員和運(yùn)維團(tuán)隊(duì)之間的界限越來越模糊,即將Sec深深融入DevOps骨髓之中。
?
作者簡(jiǎn)介
吳翔,上海鑒釋科技公司產(chǎn)品開發(fā)總監(jiān),主要負(fù)責(zé)內(nèi)部DevOps流程管理、產(chǎn)品測(cè)試及客戶售后的技術(shù)支持和服務(wù)。
關(guān)于鑒釋
鑒釋的使命是通過創(chuàng)建簡(jiǎn)單操作的工具來協(xié)助開發(fā)人員構(gòu)建并調(diào)配安全可靠的代碼。鑒釋成立于 2018 年,由擁有數(shù)十年開發(fā)經(jīng)驗(yàn)的世界級(jí)軟件專家創(chuàng)辦,并在深圳、北京、上海和香港設(shè)立了辦事處。鑒釋提高了代碼的審計(jì)、評(píng)估和缺陷檢測(cè)的速度和準(zhǔn)確性。我們通過使用高級(jí)靜態(tài)分析技術(shù)幫助客戶降低成本,提高生產(chǎn)力,并確保其軟件開發(fā)人員具備相應(yīng)的能力以開發(fā)更好、更可靠的軟件。
更多閱讀推薦
你可能也會(huì)掉進(jìn)這個(gè)簡(jiǎn)單的 String 的坑
億級(jí)大表分庫(kù)分表實(shí)戰(zhàn)總結(jié)(萬字干貨,實(shí)戰(zhàn)復(fù)盤)
贈(zèng)書 | 華為數(shù)據(jù)底座的整體架構(gòu)與建設(shè)策略
Python畫出心目中的自己
超200家上市企業(yè)布局!從千余條備案信息看區(qū)塊鏈產(chǎn)業(yè)
總結(jié)
以上是生活随笔為你收集整理的如何在DevSecOps道路上快速、安全地抵达终点的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 到底是谁发明了物联网?
- 下一篇: 大数据,从青铜到王者