最近，DevOps的采用導(dǎo)致了企業(yè)計算的重大轉(zhuǎn)變。除無服務(wù)器計算，動態(tài)配置和即付即用成本模型之類的功能外，DevOps的實踐對于組織可以發(fā)揮一些增值效益，例如提高敏捷性，速度和降低成本，也非常有用。

盡管DevOps廣受歡迎，但在需要安全交付代碼的情況下，人們卻發(fā)現(xiàn)DevOps是有需要的。這導(dǎo)致了一種新的開發(fā)方法，該方法促進了信息安全與DevOps的共存，通常將其稱為DevSecOps。

對DevSecOps的需求

通過DevOps協(xié)調(diào)開發(fā)和運營團隊，DevOps使得在更快的時間內(nèi)開發(fā)定制軟件和業(yè)務(wù)應(yīng)用程序成為可能。但是，在大多數(shù)情況下，在DevOps實施中并未將安全性放在首位，并且通常被視為快速發(fā)展的障礙。

盡管組織越來越專注于打破開發(fā)，測試和運營團隊之間的傳統(tǒng)孤島，但許多組織尚未將安全性集成到他們的開發(fā)過程中，因此容易受到漏洞的威脅。

這是DevSecOps Services的來源。DevSecOps方法包括將安全性納入DevOps實踐的重要組成部分。通過持續(xù)的監(jiān)視，評估和分析，DevSecOps確保在開發(fā)過程的早期發(fā)現(xiàn)任何漏洞和弱點并立即予以補救。

DevOps和DevSecOps之間的區(qū)別

DevOps是指開發(fā)，測試和運營團隊之間的協(xié)作環(huán)境，以實現(xiàn)持續(xù)交付，而DevSecOps涉及將安全組件集成到DevOps流程中DevSecOps專注于解決DevOps Automation安全問題，例如配置管理，組件分析等。

DevSecOps到底是什么?

DevOps通常被理解為流程和工具的組合，可促進軟件工程和基礎(chǔ)架構(gòu)團隊之間的持續(xù)協(xié)作。反過來，這些功能可自動在整個組織中快速可靠地交付應(yīng)用程序和服務(wù)。DevOps包括多個重點領(lǐng)域，包括自動配置，持續(xù)集成，持續(xù)監(jiān)視和測試驅(qū)動的開發(fā)。

作為DevOps思維方式的擴展，DevSecOps將安全控件和流程嵌入到DevOps工作流程中，并自動執(zhí)行核心安全任務(wù)。這些安全性原則是在開發(fā)過程的早期引入的，并在整個開發(fā)生命周期中得到實施。

除了為DevOps團隊提供安全知識和實踐外，DevSecOps還將應(yīng)用程序開發(fā)知識和流程整合到安全團隊中，以實現(xiàn)團隊之間的高效協(xié)作。在IT領(lǐng)域中，關(guān)于DevSecOps一詞的用法沒有一致意見，DevSecOps一詞有時被稱為DevOpsSec，SecDevOps或 Rugged DevOps。

DevSecOps方法的主要組成部分

組織需要在其開發(fā)DevSecOps的方法中納入文化和技術(shù)上的轉(zhuǎn)變，以更有效地應(yīng)對實時安全威脅。實際的DevSecOps方法需要考慮六個主要組成部分。這些包括：

• 代碼分析通過小塊代碼交付，可以快速識別漏洞。
• 變更管理這樣，用戶不僅可以提交高速度和高效率的變更，還可以確定變更的影響是正面還是負面。
• 監(jiān)視合規(guī)性組織應(yīng)遵守通用數(shù)據(jù)保護法規(guī)(GDPR)和支付卡行業(yè)數(shù)字安全標(biāo)準(zhǔn)(PCI DSS)之類的法規(guī)，并隨時準(zhǔn)備由監(jiān)管機構(gòu)進行審核。
• 調(diào)查威脅每次代碼更新都會伴隨潛在的新興威脅。盡早識別這些威脅并立即做出反應(yīng)至關(guān)重要。
• 漏洞評估涉及對新漏洞的分析以及對新漏洞的響應(yīng)。
• 培訓(xùn)組織需要讓他們的軟件IT工程師參與安全性相關(guān)的培訓(xùn)，并為他們配備確定例程的準(zhǔn)則。

采用DevSecOps策略

從DevOps遷移到DevSecOps并不是一個簡單的提議，但可以通過適當(dāng)計劃的分階段成功實現(xiàn)。組織在采用DevSecOps時需要考慮三個關(guān)鍵步驟：

• 當(dāng)前安全措施的評估安全團隊執(zhí)行威脅建模并進行風(fēng)險評估，以幫助他們分析組織資產(chǎn)的敏感度水平及其潛在威脅。此外，他們可以了解當(dāng)前的安全控制并確定需要修改的優(yōu)先級。
• 將安全性集成到DevOps中將安全性措施集成到開發(fā)過程中涉及檢查開發(fā)工作流程，并確保將安全性實踐和自動化相結(jié)合，從而將干擾降到最低。
• 將DevSecOps與安全運營集成只有開發(fā)，安全和運營團隊致力于協(xié)調(diào)并將安全流程和控件嵌入整個DevOps工作流程中，DevSecOps實施才能被視為成功。在開發(fā)過程中持續(xù)監(jiān)視任何安全問題并確?？焖夙憫?yīng)，對于將安全操作與DevSecOps方法集成在一起至關(guān)重要。

重要的DevSecOps工具

DevSecOps的采用涉及評估應(yīng)用程序安全風(fēng)險和代碼測試，而專用工具是必不可少的。集成開發(fā)環(huán)境(IDE)中自動測試工具的使用使開發(fā)人員能夠?qū)踩约{入DevOps工作流程中，而無需每次都啟動新的環(huán)境來測試代碼。

已經(jīng)開發(fā)了多種工具來促進DevSecOps實施的各個方面。這些包括：

• 可視化工具 Kibana和Grafana之類的工具可幫助識別，發(fā)展安全信息并與操作共享。
• 自動化工具每當(dāng)發(fā)現(xiàn)安全缺陷時，StackStorm之類的工具都可以幫助提供腳本化的補救措施。
• 搜尋工具這些工具有助于檢測安全異常。一些示例包括Mirador，OSSEC，MozDef和GRR等。
• 測試工具測試是DevSecOps的關(guān)鍵要素，為此目的使用了廣泛的工具，例如GauntIt，Spyk，Chef Inspec，Hakiri，Infer和Lynis。
• 警報工具 Elastalert，Alerta和411等工具會在發(fā)現(xiàn)需要修復(fù)的安全缺陷時提供警報和通知。
• 威脅情報工具這些工具可捕獲和整理威脅情報，包括OpenTPX，關(guān)鍵堆棧和被動總計。
• 攻擊建模工具這些有助于實施攻擊建模和安全防御。

如何實現(xiàn)DevSecOps?

DevSecOps通過在代碼級別合并安全性，將它們組合為一個簡化的流程，從而確保了流程鏈所有級別的應(yīng)用程序和過程的安全。

成功實現(xiàn)DevSecOps的五個功能：

• 每個階段的強制性安全
• 安全前進行徹底評估
• 在代碼級別進行與安全相關(guān)的更改
• 自動化所有可能的過程
• 通過警報和儀表板進行持續(xù)監(jiān)控

DevSecOps的商業(yè)利益

通過從DevOps過渡到DevSecOps方法，組織可以轉(zhuǎn)變其對開發(fā)管道的處理方式。開發(fā)，安全和運營團隊之間加強協(xié)作，可以確保在早期階段就發(fā)現(xiàn)漏洞并最大程度地減少安全威脅。

DevSecOps為企業(yè)提供了其他一些優(yōu)勢：安全團隊的敏捷性和速度更快，團隊之間的通信和協(xié)作得到增強，以及代碼漏洞的識別。除提供質(zhì)量保證測試和自動化構(gòu)建的機會外，DevSecOps還使組織能夠快速響應(yīng)變更。

通過采用DevSecOps還可以帶來一些其他好處，包括：

• 自動保護代碼 DevSecOps通過自動執(zhí)行測試來降低由于人為錯誤而引入安全漏洞的風(fēng)險，并實現(xiàn)更出色的覆蓋范圍，一致性和可預(yù)測的過程。此外，在開發(fā)過程中，只要發(fā)現(xiàn)任何問題，就可以對其進行跟蹤和修復(fù)。
• 持續(xù)的安全支持通過使用自動化工具，組織可以創(chuàng)建一個用于測試和報告的閉環(huán)流程，從而確保立即解決所有安全問題。
• 利用安全資源 DevOps可以自動執(zhí)行大多數(shù)需要較少動手時間的標(biāo)準(zhǔn)安全過程和任務(wù)，例如事件監(jiān)視，帳戶管理，代碼安全性和漏洞評估。這使安全專業(yè)人員可以將注意力集中在威脅補救和消除戰(zhàn)略風(fēng)險上。