【51CTO.com快譯】安全過去是最后開發(fā)階段某個專門團(tuán)隊的責(zé)任，但隨著開發(fā)周期的數(shù)量和速度同提升，安全實踐需要與時俱進(jìn)。

這導(dǎo)致DevSecOps(開發(fā)安全運(yùn)維)大行其道，DevSecOps強(qiáng)調(diào)為DevOps融入安全。公司需要DevSecOps來確保項目安全可靠地運(yùn)作。如果沒有DevSecOps，DevOps團(tuán)隊需要在發(fā)現(xiàn)漏洞后重建和更新所有系統(tǒng)，這費時費力。

[[268973]]

以下是項目負(fù)責(zé)人開始實施DevSecOps時要考慮的四個關(guān)鍵因素：

1. 了解貴公司的安全策略和標(biāo)準(zhǔn)，以便開發(fā)時可以明智地選擇安全組件。

適當(dāng)?shù)陌踩蛯徲嫴呗院苤匾员隳軌蜃C明生產(chǎn)環(huán)境中預(yù)期的樣子就是實際運(yùn)行時的樣子。能夠驗證你在生產(chǎn)環(huán)境中運(yùn)行的軟件不需要將特殊代碼添加到原始代碼，那樣就無需重新測試和維護(hù)新代碼。實際上，如果可以在運(yùn)行時進(jìn)行這番驗證，并立即報告所有應(yīng)用程序上運(yùn)行的組件，那么你的團(tuán)隊就能獲得一直缺乏的證據(jù)和監(jiān)管：安全、治理和合規(guī)證明。

2. 實施靜態(tài)、可重現(xiàn)、不可變的構(gòu)建環(huán)境。

如果在整個組織中利用系統(tǒng)化、可重復(fù)的構(gòu)建流程建立構(gòu)建環(huán)境，團(tuán)隊就能夠減少漏洞，并確保應(yīng)用程序的質(zhì)量。實施面向整個組織的流程，以便針對依賴項、許可證和安全來解決開源語言的構(gòu)建。這將消除浪費在改建上的時間、集成安全機(jī)制以及提高靈活性。

受信任、精挑細(xì)選的語言發(fā)行版可以在整個團(tuán)隊中帶來這些好處，并構(gòu)建開源語言的三個生命周期階段：構(gòu)建、認(rèn)證和解決。

3. 積極主動。

開發(fā)過程中確定許可證合規(guī)和漏洞方面要注意的事項，而不是事后再做。了解應(yīng)用程序中的組件，讓你的所有應(yīng)用程序組合了解這些組件，并密切跟蹤那些更新，這是繁重的工作。這實際上可以實現(xiàn)自動化，以了解團(tuán)隊依賴某個組件的情況和與組件有關(guān)的風(fēng)險。

這種方法使團(tuán)隊能夠?qū)踩繕?biāo)放在首要的位置，并在自動通知開源組件的更新時保持持續(xù)交付。

應(yīng)掃描所有第三方開源組件以查找許可證合規(guī)和漏洞。應(yīng)用程序的風(fēng)險在逐漸變化，因此有必要在整個軟件開發(fā)生命周期(包括CI/CD流程和進(jìn)入到生產(chǎn)環(huán)境)中密切關(guān)注開源軟件包，關(guān)注漏洞、有效期和許可。

以前，跨SDLC和生產(chǎn)環(huán)境跟蹤安全需要安裝某個持續(xù)運(yùn)行的代理，或者在系統(tǒng)層面使用應(yīng)用程序掃描工具(AST)，或者在應(yīng)用程序的代碼里面使用運(yùn)行時應(yīng)用程序自保護(hù)(RASP)解決方案。

如今，借助解釋器插件進(jìn)行的無代理監(jiān)控可以將安全機(jī)制直接部署到源代碼中，以便安全團(tuán)隊能夠跟上開發(fā)步伐，并使產(chǎn)品更快地進(jìn)入市場。這種方法可以更深入地了解合規(guī)團(tuán)隊、InfoSec團(tuán)隊和風(fēng)險管理團(tuán)隊當(dāng)中的安全。

4. 使用最新版本的組件，組件應(yīng)盡量來自積極維護(hù)的項目。

過時或維護(hù)不力的開源軟件會為不法分子提供可趁之機(jī)，并破壞關(guān)鍵任務(wù)型應(yīng)用程序的穩(wěn)定性。許多開源軟件包由多個貢獻(xiàn)者創(chuàng)建，可能沒有走嚴(yán)格的安全審核流程。此外，即使軟件包過去經(jīng)過了安全評估，也可能含有未知的新漏洞。而現(xiàn)有的工具和流程檢測不出這些新漏洞。

為了解決這些問題，企業(yè)應(yīng)實施策略以防止使用易受攻擊的軟件包、模塊和庫;為應(yīng)用程序使用的軟件包維護(hù)一份最新的清單;根據(jù)可靠的信息來源，定期檢查漏洞。若發(fā)現(xiàn)任何軟件包含有漏洞，必須打補(bǔ)丁，并部署新版本。

新的安全機(jī)會

在組織內(nèi)部實施DevSecOps標(biāo)準(zhǔn)并不完全是開發(fā)人員的責(zé)任。然而，開發(fā)期間制定安全標(biāo)準(zhǔn)卻是開發(fā)人員的職責(zé)。為什么不超越最基本的許可證合規(guī)、漏洞檢查和組件檢查，使用可用的工具和流程制定更強(qiáng)大的安全標(biāo)準(zhǔn)?DevSecOps為節(jié)省時間、避免沮喪和返工，同時提高安全、縮短投放市場的時間提供了機(jī)會。

原文標(biāo)題：DevSecOps: 4 key considerations for beginners，作者：Bart Copeland

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】