DevSecOps可能不是一個(gè)優(yōu)雅的術(shù)語(yǔ)，但其結(jié)果是有吸引力的: 在開(kāi)發(fā)的早期帶來(lái)更強(qiáng)大的安全性。DevOps最終是要建立更好的軟件，也意味著更安全的軟件。

像任何IT術(shù)語(yǔ)一樣，DevSecOps--由DevOps衍生而來(lái)，很容易被炒作和盜用。但是這個(gè)術(shù)語(yǔ)對(duì)擁抱DevOps文化的IT領(lǐng)導(dǎo)者以及實(shí)現(xiàn)其承諾的實(shí)踐和工具而言，具有真正的意義。

DevSecOps什么意思?

Datic公司首席技術(shù)官兼共同創(chuàng)始人RobertReeves說(shuō)：“DevSecOps是開(kāi)發(fā)，安全和運(yùn)維的組合。它提醒我們，對(duì)于應(yīng)用程序來(lái)說(shuō)，安全和創(chuàng)建、部署到生產(chǎn)上同樣重要。”

向非技術(shù)人員解釋DevSecOps的一個(gè)簡(jiǎn)單方法：它有意識(shí)地更早地將安全性融入到開(kāi)發(fā)過(guò)程中。

紅帽安全戰(zhàn)略家Kirsten Newcomer 最近告訴我們： “歷史上，安全團(tuán)隊(duì)從開(kāi)發(fā)團(tuán)隊(duì)中分離出來(lái)，每個(gè)團(tuán)隊(duì)都在不同的IT領(lǐng)域擁有深厚的專業(yè)知識(shí) 。“其實(shí)不需要這樣。關(guān)心安全的企業(yè)也非常關(guān)心通過(guò)軟件快速交付業(yè)務(wù)價(jià)值的能力，這些企業(yè)正在尋找方法，將安全性留在應(yīng)用開(kāi)發(fā)生命周期內(nèi)。通過(guò)在整個(gè)CI / CD中集成安全實(shí)踐，工具和自動(dòng)化來(lái)采用DevSecOps。”

她說(shuō)：“為了做到這一點(diǎn)，他們正在整合團(tuán)隊(duì)。安全專業(yè)人員將從應(yīng)用開(kāi)發(fā)團(tuán)隊(duì)一直嵌入到生產(chǎn)部署中。” “雙方都看到了價(jià)值，每個(gè)團(tuán)隊(duì)都拓展了他們的技能和知識(shí)基礎(chǔ)，成為更有價(jià)值的技術(shù)專家。正確的DevOps或DevSecOps ，提高IT安全性。”

IT團(tuán)隊(duì)的任務(wù)是更快，更頻繁地交付服務(wù)。DevOps成為一個(gè)很好的推動(dòng)因素，部分原因是它可以消除開(kāi)發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)之間的一些傳統(tǒng)沖突，Ops通常在部署之前被排除在外，而Dev將其代碼丟在無(wú)形的墻上，從來(lái)不進(jìn)行二次管理，更沒(méi)有任何的基礎(chǔ)設(shè)施維護(hù)責(zé)任。說(shuō)得委婉一些，在數(shù)字化時(shí)代，這種孤立的做法會(huì)產(chǎn)生問(wèn)題。按照Reeves的說(shuō)法，如果安全是孤立的，也會(huì)存在類似的問(wèn)題。

Reeves說(shuō)：“我們采用DevOps，它被證明可以通過(guò)掃除開(kāi)發(fā)與運(yùn)維之間的障礙來(lái)提高IT的性能。“就像不應(yīng)該等到部署周期結(jié)束才開(kāi)始運(yùn)維一樣，也不應(yīng)該等到最后才考慮安全問(wèn)題。”

DevSecOps為什么會(huì)出現(xiàn)?

將DevSecOps看作是另一個(gè)流行語(yǔ)是一種誘惑，但對(duì)于安全意識(shí)強(qiáng)的IT領(lǐng)導(dǎo)者來(lái)說(shuō)，這是一個(gè)實(shí)質(zhì)性的概念。安全必須是軟件開(kāi)發(fā)流程中的“一等公民”，而并非最終步驟部署，或者更糟糕，只有在發(fā)生實(shí)際的安全事件后才受到重視。

SumoLogic公司安全與合規(guī)副總裁George Gerchow表示：“DevSecOps不僅僅是一個(gè)流行詞，由于諸多原因它是IT的當(dāng)前和未來(lái)狀態(tài)。“最重要的好處是能夠?qū)踩匀谌氲介_(kāi)發(fā)和運(yùn)營(yíng)流程中，為實(shí)現(xiàn)敏捷性和創(chuàng)新提供保障。”

此外，在場(chǎng)景中出現(xiàn)的DevSecOps可能是DevOps自身正在成熟并深入挖掘IT內(nèi)部的另一個(gè)標(biāo)志。

“企業(yè)DevOps文化意味著開(kāi)發(fā)人員能夠以更快的速度向生產(chǎn)環(huán)境提供功能和更新，特別是當(dāng)自組織團(tuán)隊(duì)更加樂(lè)于協(xié)作和衡量結(jié)果。”CYBRIC首席技術(shù)官兼聯(lián)合創(chuàng)始人Mike Kail說(shuō)。

在采用DevOps的同時(shí)，保持原有的安全實(shí)踐的團(tuán)隊(duì)和公司會(huì)遇到更多的管理安全風(fēng)險(xiǎn)的痛苦，因?yàn)镈evOps團(tuán)隊(duì)會(huì)部署地更快、更頻繁。

手動(dòng)測(cè)試安全方法逐漸落后

“目前，手動(dòng)測(cè)試安全方法逐漸落后，利用自動(dòng)化和協(xié)作將安全測(cè)試轉(zhuǎn)移到軟件開(kāi)發(fā)生命周期，從而推動(dòng)DevSecOps文化，這是IT領(lǐng)導(dǎo)者提高整體彈性和交付安全保證的唯一路徑。”凱爾說(shuō)。

(早期)對(duì)安全性測(cè)試的改變也讓開(kāi)發(fā)人員受益：在開(kāi)發(fā)新服務(wù)或部署更新服務(wù)之前，他們并沒(méi)有發(fā)現(xiàn)代碼中的明顯漏洞，而是經(jīng)常在開(kāi)發(fā)的早期階段發(fā)現(xiàn)并解決潛在的問(wèn)題，幾乎沒(méi)有安全人員的介入。

SAS首席信息安全官Brian Wilson表示：“正確的做法是，DevSecOps可以將安全性納入開(kāi)發(fā)生命周期，使開(kāi)發(fā)人員能夠更快，更方便地保護(hù)應(yīng)用程序，不會(huì)造成安全干擾。

Wilson將靜態(tài)(SAST)和源代碼分析(SCA)工具集成到團(tuán)隊(duì)的持續(xù)交付中，幫助開(kāi)發(fā)人員在代碼中對(duì)潛在問(wèn)題，以及第三方依賴的漏洞進(jìn)行反饋。

Wilson說(shuō)：“開(kāi)發(fā)人員可以主動(dòng)、反復(fù)地緩解app的安全問(wèn)題，并重新進(jìn)行安全掃描，無(wú)需安全人員參與。DevSecOps還可以幫助開(kāi)發(fā)團(tuán)隊(duì)簡(jiǎn)化更新和修補(bǔ)程序。

DevSecOps并不意味著企業(yè)不再需要安全專家，就像DevOps并不意味著企業(yè)不再需要基礎(chǔ)架構(gòu)專家一樣。它只是有助于減少瑕疵進(jìn)入生產(chǎn)的可能性，或減緩部署。

DevSecOps遭遇的危機(jī)

來(lái)自Sumo Logic公司的Gerchow分享了DevSecOps文化的實(shí)例：當(dāng)最近的Meltdown和Spectre消息出現(xiàn)時(shí)，團(tuán)隊(duì)的DevSecOps方法能夠迅速做出響應(yīng)，以減輕風(fēng)險(xiǎn)，而對(duì)內(nèi)外部客戶沒(méi)有任何明顯的干擾。 對(duì)云原生和受高度監(jiān)管的公司來(lái)說(shuō)非常重要。

第一步，Gerchow的小型安全團(tuán)隊(duì)(具備開(kāi)發(fā)技能)能夠通過(guò)Slack與其主要云供應(yīng)商之一合作，確保基礎(chǔ)設(shè)施在24小時(shí)內(nèi)完全修補(bǔ)好。

“然后，我的團(tuán)隊(duì)立即開(kāi)始了OS級(jí)別的修復(fù)，不需要給終端用戶停機(jī)時(shí)間，也無(wú)需請(qǐng)求工程師，那樣意味著要等待長(zhǎng)時(shí)間的變更管理流程。所有這些變化都是通過(guò)Slack打開(kāi)自動(dòng)化Jira tickets進(jìn)行的，并通過(guò)日志和分析解決方案進(jìn)行監(jiān)控，“Gerchow解釋說(shuō)。

這聽(tīng)起來(lái)像DevOps文化，正確的人員、流程和工具組合相匹配，但它明確地將安全作為該文化和組合的一部分。

Gerchow說(shuō)：“在傳統(tǒng)環(huán)境下，停機(jī)需要花費(fèi)數(shù)周或數(shù)月的時(shí)間，因?yàn)殚_(kāi)發(fā)、運(yùn)營(yíng)和安全這三項(xiàng)功能都是孤立的。憑借DevSecOps流程和理念，終端用戶可以通過(guò)簡(jiǎn)單的溝通和當(dāng)天的修復(fù)獲得無(wú)縫的體驗(yàn)。”

2018DevSecOps三大預(yù)測(cè)

2018年企業(yè)的DevSecOps將迎來(lái)一些真正的變革。

對(duì)于DevSecOps來(lái)說(shuō)，2017年是美好的一年，DevSecOps從一個(gè)半朦朧的概念演變成可行的企業(yè)功能。

容器和容器市場(chǎng)的迅速擴(kuò)張?jiān)诤艽蟪潭壬贤苿?dòng)了這一演變，容器市場(chǎng)本質(zhì)上與DevOps和DevSecOps相互交織在一起。一般來(lái)說(shuō)，快速增長(zhǎng)和創(chuàng)新往往比科學(xué)更能預(yù)測(cè)趨勢(shì)，但我仍然愿意嘗試一下。

從Docker Hub和成熟的容器生態(tài)系統(tǒng)中獲取了超過(guò)120億張圖片，就企業(yè)的DevSecOps而言，我們幾乎看不到冰山的一角。不過(guò)，相信在2018年，我們將看到：基礎(chǔ)變革的開(kāi)始。我認(rèn)為它會(huì)是這樣的：

1.企業(yè)領(lǐng)導(dǎo)者和IT利益相關(guān)者意識(shí)到DevSecOps正在改進(jìn)DevOps

DevOps將開(kāi)發(fā)團(tuán)隊(duì)和運(yùn)維團(tuán)隊(duì)聚在一起，它推動(dòng)協(xié)作文化不足為奇。加入安全舉措可能聽(tīng)起來(lái)很簡(jiǎn)單，但多年來(lái)，安全問(wèn)題一直是事后的事情，導(dǎo)致企業(yè)文化容易使安全團(tuán)隊(duì)與其他IT團(tuán)隊(duì)形成對(duì)立，包括開(kāi)發(fā)團(tuán)隊(duì)。

但是事情發(fā)生了變化。

在雅虎虧損3.5億美元的商業(yè)環(huán)境下，暴露了其脆弱的安全狀況，企業(yè)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全看作是一個(gè)運(yùn)維sinkhole的時(shí)代已經(jīng)結(jié)束。加強(qiáng)網(wǎng)絡(luò)安全現(xiàn)在是企業(yè)的當(dāng)務(wù)之急。但這種轉(zhuǎn)變需要時(shí)間才能重新回到IT文化中。

DevOps和DevSecOps的崛起無(wú)疑為重塑應(yīng)用程序安全性創(chuàng)造了一個(gè)難得且令人興奮的機(jī)會(huì)，但是DevOps可能會(huì)導(dǎo)致轉(zhuǎn)變速度發(fā)生變化。DevOps團(tuán)隊(duì)和應(yīng)用程序架構(gòu)師每天都能夠認(rèn)識(shí)到安全的重要性，并歡迎安全團(tuán)隊(duì)的加入，但他們之間仍然存在需要磨合的鴻溝。

為正確實(shí)施DevSecOps，安全團(tuán)隊(duì)需要與DevOps團(tuán)隊(duì)保持一致，企業(yè)領(lǐng)導(dǎo)者需要為此打造空間和預(yù)算。到2019年，希望企業(yè)領(lǐng)導(dǎo)人能夠意識(shí)到推動(dòng)一個(gè)重要的、合法的安全勝利的機(jī)會(huì)。

2.成功的組織模式將會(huì)出現(xiàn)，最可能的是，安全與DevOps團(tuán)隊(duì)之間的緊密協(xié)作。

雖然該預(yù)測(cè)并不特別具有啟發(fā)性，但是相關(guān)的。了解DevSecOps需要來(lái)自安全和DevOps團(tuán)隊(duì)的平等協(xié)作，快速跟蹤標(biāo)準(zhǔn)藍(lán)圖或?qū)嵤┠Ｐ?，將DevSecOps集成(并最終自動(dòng)化)到CI / CD進(jìn)程中。

雖然不同企業(yè)有不同的需求，但大多數(shù)公司都使用相同的技術(shù)工具，特別是在使用容器的情況下。這就為統(tǒng)一的標(biāo)準(zhǔn)化提供了條件。此外，容器的開(kāi)源特性可以促進(jìn)相關(guān)信息的共享和標(biāo)準(zhǔn)開(kāi)發(fā)。

到目前為止，由于DevOps團(tuán)隊(duì)擁有開(kāi)發(fā)流程，他們一直在安全方面處于領(lǐng)先地位。然而，我認(rèn)為，DevSecOps需要由安全團(tuán)隊(duì)領(lǐng)導(dǎo)， 他們是負(fù)責(zé)企業(yè)安全和風(fēng)險(xiǎn)的人，當(dāng)安全事故發(fā)生時(shí)，他們會(huì)被解雇或被迫離開(kāi)。

2018年，安全團(tuán)隊(duì)需要加強(qiáng)并展示團(tuán)隊(duì)的價(jià)值和技能。將安全性融入到IT結(jié)構(gòu)中，而不是在網(wǎng)絡(luò)安全問(wèn)題成為事實(shí)之后才想起。現(xiàn)在我們有機(jī)會(huì)來(lái)實(shí)現(xiàn)這一目標(biāo)。

3.安全團(tuán)隊(duì)仍然要緩慢適應(yīng)DevOps的現(xiàn)實(shí)

過(guò)去，企業(yè)安全團(tuán)隊(duì)通常在不重視或不了解安全需要的文化中運(yùn)營(yíng)。難怪今天的電商環(huán)境是大多數(shù)企業(yè)相對(duì)容易被破壞的環(huán)境。

強(qiáng)大的安全性不僅僅是外圍的防火墻。盡管許多安全專家可能最終會(huì)看到這種轉(zhuǎn)變，但可能不像DevOps團(tuán)隊(duì)所期望的那樣靈活。當(dāng)談到容器(通常是appsec)時(shí)，即使是最有才華和最優(yōu)秀的安全專家也會(huì)面臨學(xué)習(xí)的瓶頸。更不用說(shuō)已經(jīng)被充分證明的網(wǎng)絡(luò)安全技能短缺的現(xiàn)狀。

雖然這些因素可能在短期內(nèi)降低安全對(duì)DevOps和 DevSecOps的支持，但是我認(rèn)為DevSecOps是解決技能短缺問(wèn)題的一部分。將安全集成到應(yīng)用程序交付過(guò)程中，并將其自動(dòng)化比用回溯方法更有效率和更具成本效益，可以解決在部署應(yīng)用程序之前解決安全漏洞。安全專業(yè)人士可以通過(guò)開(kāi)放的態(tài)度，以新的方式發(fā)揮他們的才能，從而獲得很多收益。

2018年希望這個(gè)故事有一個(gè)快樂(lè)的結(jié)局。