【51CTO.com快譯】2015年Mir Ali加入惠譽(yù)評(píng)級(jí)(Fitch Ratings)時(shí)，公司已經(jīng)在熱議改變軟件流程，原因是軟件堆棧不可靠?；葑u(yù)評(píng)級(jí)是一家金融公司，與穆迪和標(biāo)準(zhǔn)普爾同為美國證券交易委員會(huì)(SEC)認(rèn)定的三大全國公認(rèn)的統(tǒng)計(jì)評(píng)級(jí)機(jī)構(gòu)。

現(xiàn)為惠譽(yù)共享服務(wù)主管的Ali表示，讓一家百年歷史的公司改用DevSecOps(開發(fā)安全運(yùn)維)并非易事。但再也不能無視存在的問題了。他說，大家基本上不明白出現(xiàn)在生產(chǎn)環(huán)境中的情況。故障太多，無法追根溯源，整條管道上下缺乏合作。事件發(fā)生時(shí)，沒有人知道原因，也不知道該怎么做。標(biāo)準(zhǔn)程序就是重啟數(shù)據(jù)庫服務(wù)。這在SEC監(jiān)管的公司顯然是不可接受的。

重大挑戰(zhàn)

一個(gè)挑戰(zhàn)是普遍缺乏安全知識(shí)。另一個(gè)挑戰(zhàn)是缺乏合作或?qū)€(gè)人的責(zé)任缺乏了解。***是自動(dòng)化不足。

起初，有很多事情要做，很難分清輕重緩急。團(tuán)隊(duì)冷靜下來思考，對(duì)于他們想要的內(nèi)容從長計(jì)議，而這個(gè)愿景為他們隨后的所有決策提供了指導(dǎo)。

他們決定將消除安全缺陷放在首位。剩余的任務(wù)分為三個(gè)方面。他們希望在整個(gè)開發(fā)過程中確保安全，并在整個(gè)公司中實(shí)現(xiàn)這套流程標(biāo)準(zhǔn)化。***，他們希望盡可能地簡(jiǎn)化流程。

Ali表示，簡(jiǎn)而言之，DevSecOps擴(kuò)大了DevOps合作的范圍，包括安全。

devsecops.org聲稱：“DevSecOps的目的和意圖是立足于‘每個(gè)人都對(duì)安全負(fù)責(zé)’這個(gè)理念，目的是在不犧牲所需安全的情況下，盡快讓***層的人員做出安全決策。”

在整個(gè)開發(fā)過程中運(yùn)用安全

Ali表示，關(guān)鍵是將安全整合到DevOps管道中，因而讓安全成為整個(gè)軟件開發(fā)過程中不可或缺的一部分。

圖1：惠譽(yù)的DevSecOps管道中的安全檢查點(diǎn)

管理團(tuán)隊(duì)一開始在打破整個(gè)DevOps管道的孤島時(shí)，將安全專家安插到了每個(gè)團(tuán)隊(duì)。他說：“讓他們覺得自己是團(tuán)隊(duì)的一員，聽取他們的意見，運(yùn)用他們的技能。讓這成為自動(dòng)化的一部分。”安全專家讓你洞察上下文，提供了專業(yè)知識(shí)，了解***風(fēng)險(xiǎn)以及我們需要注意什么。安全成了每個(gè)人的工作。

接下來，他們部署了安全工具。Ali說：“這不僅僅與工具有關(guān)，你還要部署使安全成為可能的工具。”比如說，良好的儀表板以及自動(dòng)化是關(guān)鍵。為了確保持續(xù)交付管道的安全性，適當(dāng)?shù)脑L問控制、嚴(yán)加保護(hù)構(gòu)建系統(tǒng)以及統(tǒng)一命名約定是幾個(gè)優(yōu)先事項(xiàng)。

他們從容易見效的方面著手。雅虎的數(shù)據(jù)泄露是由于它的系統(tǒng)沒有落實(shí)密碼保護(hù)機(jī)制，因此有人克隆了其數(shù)據(jù)庫。他表示，應(yīng)該避免這樣的情況。所以***步是，默認(rèn)任何人都無權(quán)訪問。必須授予權(quán)限，而且完全基于角色并自動(dòng)化。

“加密一切”成了新的座右銘。深入了解管道是另一個(gè)關(guān)鍵方面。Ali建議：“確保日志條目一目了然。”許多日志看起來像亂碼，這在排除故障時(shí)毫無助益。

設(shè)立安全檢查點(diǎn)

一旦基本的整體安全到位，他們開始為管道設(shè)立自動(dòng)化安全檢查點(diǎn)。他說：“如果系統(tǒng)沒有通過，工程師會(huì)關(guān)閉系統(tǒng)，說‘稍后我再處理’，但他們永遠(yuǎn)不會(huì)處理。”通過自動(dòng)化檢查點(diǎn)，你不給他們這樣的機(jī)會(huì)。他們使用Gauntlt，這個(gè)工具讓用戶可以專門針對(duì)安全編寫自動(dòng)化測(cè)試。

圖2：惠譽(yù)的DevSecOps管道

Ail加入時(shí)，工程師們一直在部署擴(kuò)展數(shù)據(jù)規(guī)模的解決方案，但是每個(gè)團(tuán)隊(duì)獨(dú)立工作，因此部署了各種各樣的解決方案，工程師們給出了一大堆不同的選擇。一段時(shí)間后，工程師們?yōu)楣艿赖拿總€(gè)部分選擇了滿足要求的***解決方案，并使其成為標(biāo)準(zhǔn)。

與PagerDuty自己的DevOps轉(zhuǎn)型相似，這個(gè)項(xiàng)目耗時(shí)大概三年。

DevSecOps的誤區(qū)

Ali表示，DevSecOps方面有幾個(gè)誤區(qū)需要揭穿。***個(gè)誤區(qū)是，如果你實(shí)現(xiàn)安全自動(dòng)化，就放棄了控制。事實(shí)上，這讓貴公司更加合規(guī)。自動(dòng)化提供了一致性和可追溯性。

下一個(gè)誤區(qū)是，只要添加安全工具即可打造DevSecOps。關(guān)鍵不是添加新工具，也不是增加更多的開發(fā)人員。他表示，DevSecOps不是一種能力，而是一種理念。“可以借助已有的開發(fā)人員輕松做這項(xiàng)工作。”讓安全成為他們工作的一部分，成為績(jī)效評(píng)估的一部分。

從哪兒開始?

仍然不知所措?答案是從小處入手。Ali先從電子郵件集成入手，慢慢地添加了工具，開始打破孤島，改變期望目標(biāo)。電子郵件集成完成后，該公司開始使用PagerDuty的警報(bào)服務(wù)，這促使公司集成了Atlassian的Jira錯(cuò)誤跟蹤系統(tǒng)，整條管道集中起來，擁有日志和智能監(jiān)控功能。

三年后的今天，他們?cè)诠收习l(fā)生之前就能發(fā)現(xiàn)隱患。

開發(fā)人員面臨的***挑戰(zhàn)

你要站在開發(fā)人員的角度來考慮。如果你告訴他們，你要自動(dòng)化，要使用DevOps工具，現(xiàn)在說‘還要融入安全’，那么從他們的角度來看，突然之間有三份工作，而不是只有一份工作。

Ali說：“有鑒于此，我會(huì)討厭那樣的工作。”于是他加入公司，積極提供指導(dǎo)和支持。他告訴團(tuán)隊(duì)，他們要提供培訓(xùn)、工具和框架，并支持開發(fā)人員的工作。

看到大部分工作已完成，開發(fā)團(tuán)隊(duì)意識(shí)到他們不得不充分利用自動(dòng)化。現(xiàn)在，沒人簽入代碼，每個(gè)人都很自然地完成工作。部署不再是個(gè)問題。

他說：“仍然存在挑戰(zhàn)，但我們已經(jīng)為他們開始采用DevSecOps開辟了一條道路。”

***提示

他說：“你要意識(shí)到你把數(shù)據(jù)放在哪里，弄清楚里面有什么數(shù)據(jù)，如何檢查數(shù)據(jù)，誰與數(shù)據(jù)交互以及數(shù)據(jù)如何受到保護(hù)。”

“除非你提出這些問題，否則你的應(yīng)用程序和數(shù)據(jù)是不安全的。”

原文標(biāo)題：100-Year-Old Fitch Ratings Upgrades to DevSecOps，作者：TC Currie

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】