2020年RSA大會(huì)于2月24日至28日在舊金山召開。大會(huì)主題為“Human Element”。去年作為RSA大會(huì)DevSecOps日的轉(zhuǎn)折點(diǎn)，約有超過800名從業(yè)人員參加了為期一天的專題活動(dòng)。今年，重點(diǎn)則放在從業(yè)者如何在組織內(nèi)部調(diào)整并向DevSecOps轉(zhuǎn)型，詳細(xì)解析了組織所面臨阻礙其進(jìn)步的問題類型，以及如何從公司的各個(gè)層面上獲得支持幫助等內(nèi)容展開討論。

此前，嘶吼在分析參展廠商時(shí)發(fā)現(xiàn)有絕大多數(shù)企業(yè)聚焦DevSecOps這一話題，它作為一種為應(yīng)用程序開發(fā)的生命周期引入安全性的設(shè)計(jì)考慮，最大程度地減少漏洞并使安全性更貼近IT實(shí)景和業(yè)務(wù)目標(biāo)。就在當(dāng)?shù)貢r(shí)間2月24日結(jié)束的RSAC2020創(chuàng)新沙盒大賽上，十家初創(chuàng)公司中有半數(shù)企業(yè)聚焦應(yīng)用安全，可以見得DevSecOps落地已成為大勢(shì)所趨。

筆者認(rèn)為 DevSecOps的前提是軟件開發(fā)生命周期中的每個(gè)人都應(yīng)對(duì)安全負(fù)責(zé)，也就是實(shí)質(zhì)上將操作、開發(fā)與安全功能相結(jié)合。即安全性嵌入到開發(fā)流程中來，它并非將安全性最終固定于IT系統(tǒng)之中，而是通過在DevOps工作流程中嵌入安全控制流程進(jìn)行安全管理的核心任務(wù)。

DevSecOps重要性體現(xiàn)在?

IT基礎(chǔ)架構(gòu)的巨大變化：向動(dòng)態(tài)配置、共享資源和云計(jì)算的轉(zhuǎn)變已推動(dòng)了IT系統(tǒng)演進(jìn)速度、敏捷性和成本收益等方面，這些都有助于改善應(yīng)用程序的開發(fā)。

在云中部署應(yīng)用程序的能力提高了規(guī)模和速度，向DevOps方法論的遷移和持續(xù)交付使得“大爆炸式”應(yīng)用程序成為過去。尤其，DevOps一直以來將開發(fā)和IT運(yùn)營(yíng)集成在“單一自動(dòng)化保護(hù)傘下”的原則對(duì)所有事情都有所幫助，從更頻繁的功能發(fā)布調(diào)整到增強(qiáng)的應(yīng)用程序穩(wěn)定性中來。但是，許多安全性和合規(guī)性監(jiān)視工具無法跟上這種變化的步伐，因?yàn)樗鼈儾⒉皇菫殚_發(fā)代碼而開發(fā)的，它們無法以DevOps要求的速度進(jìn)行測(cè)試。也就出現(xiàn)了以下觀點(diǎn)：安全性是快速開發(fā)應(yīng)用程序以及IT創(chuàng)新性最大障礙。

而人們?yōu)榱似瞥@一阻礙，令安全性和IT系統(tǒng)架構(gòu)更加巧妙的結(jié)合，推出了DevSecOps的方法論，改進(jìn)由安全性帶來的矛盾和阻礙。

DevSecOps的時(shí)代已然來臨

DevSecOps優(yōu)勢(shì)：簡(jiǎn)而言之，它能夠縮短實(shí)現(xiàn)更高標(biāo)準(zhǔn)的自動(dòng)化時(shí)間長(zhǎng)度，進(jìn)而減少因決策失誤帶來的風(fēng)險(xiǎn)和一般情況下操作錯(cuò)誤導(dǎo)致系統(tǒng)宕機(jī)或遭受不同程度攻擊等問題。當(dāng)然，這種自動(dòng)化還一定程度上減少了安全人員手動(dòng)配置平臺(tái)的操作。

隨著企業(yè)從DevOps逐漸過渡到DevSecOps，我們發(fā)現(xiàn)安全性和開發(fā)人員領(lǐng)域的出現(xiàn)重疊。在RSAC2020大會(huì)上，不論從達(dá)美航空公司的“Delta的DevOps轉(zhuǎn)型”的演講，還是英特爾公司的“開發(fā)人員的安全策略和法規(guī)趨勢(shì)”的演講中，均發(fā)現(xiàn)許多會(huì)議更多面向的是組織內(nèi)部如何處理DevSecOps轉(zhuǎn)型，他們面臨的困擾、問題，進(jìn)一步提升并將安全性更好的納入開發(fā)流程的最佳實(shí)踐中來。

RSAC2020 創(chuàng)新沙盒上應(yīng)用安全與DevSecOps公司概覽：

·BluBracket

關(guān)鍵詞：代碼安全

公司成立于2019年，BluBracket于上周宣布獲得650萬美元的投資。其主營(yíng)代碼安全解決方案，第一款產(chǎn)品是BluBracket CodeInsight，它是一種審核工具，目前已發(fā)布使用，該工具使公司可以全面了解誰從Git庫(kù)中撤回了代碼;第二個(gè)工具BluBracket CodeSecure需到2020年下半年才能使用，它保護(hù)代碼安全性，囊括了按照分級(jí)對(duì)代碼分類的安全能力，最高級(jí)別的代碼將具有特殊地位，組織內(nèi)部可以為其附加規(guī)則，如：未經(jīng)允許不能將其分發(fā)到開源文件夾中等。

·ForAllSecure

關(guān)鍵詞：下一代代碼測(cè)試(模糊測(cè)試)解決方案

成立于2012年，2016年在DARPA網(wǎng)絡(luò)大挑戰(zhàn)賽中獲得第一名;2017年入選《麻省理工科技評(píng)論》的50家智慧公司;去年ForAllSecure在New Enterprise Associates的領(lǐng)導(dǎo)下籌集了1500萬美元的A輪融資。旗下技術(shù)平臺(tái)Mayhem的下一代模糊測(cè)試安全方案，旨在做到“自動(dòng)識(shí)別和修復(fù)軟件中的安全漏洞”，對(duì)當(dāng)前的威脅作出足夠迅速的反應(yīng)，而模糊測(cè)試的本身就是降低測(cè)試門檻，有效為組織建立起信任。

ForAllSecure的首席執(zhí)行官David Brumley博士稱“如果組織內(nèi)安全人員不了解編碼基礎(chǔ)，要改進(jìn)的不是令其成為開發(fā)人員，而是確保他們明悉軟件和計(jì)算機(jī)是如何深入工作的，進(jìn)一步提高安全技能。”

·Sqreen

關(guān)鍵詞：RASP、WAF

Sqreen此前已經(jīng)完成了1400萬美元的A輪融資，該公司旨在提高Web應(yīng)用程序和云基礎(chǔ)架構(gòu)的安全性。它的宗旨是不需要組織更改代碼或防火墻設(shè)置，通過在服務(wù)器上安裝一個(gè)軟件包，并添加幾行代碼以在應(yīng)用程序中執(zhí)行調(diào)用所需Sqreen模塊，更為輕量級(jí)的輸出安全服務(wù)。它的應(yīng)用程序安全平臺(tái)可幫助組織保護(hù)應(yīng)用程序，增加可見性，并通過查找關(guān)鍵威脅，修復(fù)漏洞將安全性集成到SDLC中來保護(hù)代碼。其提供了低成本、高水平的RASP+in App WAF解決方案，為實(shí)現(xiàn)快速部署、高可擴(kuò)展性、降低延遲提供了促進(jìn)作用。

·Tala Security

關(guān)鍵詞：WAF

現(xiàn)代化的Web體系結(jié)構(gòu)極大地加快了網(wǎng)站和應(yīng)用層攻擊的速度，例如Magecart、XSS、重定向攻擊和基于Web的惡意軟件等。Tala Security的主打產(chǎn)品WAF，通過基于AI引擎進(jìn)行實(shí)時(shí)分析，解決攻擊目標(biāo)為依賴JavaScript和第三方特權(quán)訪問等威脅，其平臺(tái)可抵御最廣泛的客戶端攻擊，并對(duì)組織系統(tǒng)的性能影響為零。

·Vulcan Cyber

關(guān)鍵詞：SOAR

Vulcan Cyber已于去年9月完成1000萬美元A輪融資，截止目前總計(jì)融資1400萬美元。該公司旨在通過自動(dòng)化修補(bǔ)程序完成對(duì)于漏洞的修復(fù)操作。其平臺(tái)將優(yōu)先級(jí)和部署流程自動(dòng)化，以更快地修復(fù)更多漏洞，有效較低業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)和成本。

Vulcan Cyber可以很好地與所有主要的云平臺(tái)以及Puppet、Chef和Ansible等工具和GitHub、Bitbucket等工具結(jié)合使用，還集成了眾多主要的安全測(cè)試工具和漏洞掃描程序，其中包括Black Duck、Nessus、Fortify、Tripwire、Checkmarx、Rapid7和Veracode。

總結(jié)

盡管CI / CD在不斷發(fā)展以滿足包括容器編排在內(nèi)的越來越多的軟件開發(fā)需求，但應(yīng)用程序中的許多默認(rèn)設(shè)置都需要進(jìn)行額外的強(qiáng)化以確保安全性。由此，將安全性集成到開發(fā)過程中成為必然趨勢(shì)。組織選擇使用更好的DevSecOps工具，確保從構(gòu)建、部署、程序運(yùn)行的整個(gè)生命安全周期中納入安全性。隨后，可以通過創(chuàng)建良好的DevSecOps文化氛圍，搭建位于安全團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)之間的橋梁，保障開發(fā)團(tuán)隊(duì)在開發(fā)過程中也可以及時(shí)確認(rèn)安全性，該步驟可以通過自動(dòng)化檢測(cè)與響應(yīng)推進(jìn)。還需要注重的一點(diǎn)是，組織不僅應(yīng)將DevSecOps納入IT架構(gòu)規(guī)劃中，還應(yīng)盡可能的從不同角度進(jìn)行安全測(cè)試，以確保正在運(yùn)行的組織平臺(tái)的安全性。