[[407331]]

過(guò)去幾年以來(lái)，DevSecOps已經(jīng)成為DevOps生態(tài)當(dāng)中的一波熱潮，它結(jié)合了DevOps的效率優(yōu)勢(shì)，同時(shí)提高軟件安全性。但當(dāng)我們靜心下來(lái)實(shí)際推行DevSecOps時(shí)，情況往往變得頗為棘手。DevSecOps并不能”一鍵啟動(dòng)“，它的落地需要一系列工具與實(shí)踐的協(xié)同支持。

下面，我們來(lái)聊聊DevSecOps實(shí)現(xiàn)過(guò)程中必須考慮的主要因素，了解其中到底存在哪些障礙。

DevSecOps是什么?

從本質(zhì)上講，DevSecOps就是在根源上內(nèi)置有安全因素的DevOps。這要求我們將安全性融入需求、設(shè)計(jì)、編碼與部署階段——換句話(huà)說(shuō)，納入整個(gè)DevOps管道。

舊有安全實(shí)踐往往會(huì)拖慢開(kāi)發(fā)團(tuán)隊(duì)的行動(dòng)速度。而面對(duì)產(chǎn)品上市周期每年都在縮短的現(xiàn)實(shí)要求，軟件開(kāi)發(fā)團(tuán)隊(duì)必須找到一種新方法以加快自己的軟件開(kāi)發(fā)速度，同時(shí)又不對(duì)安全性造成影響。DevSecOps的意義也在于此。

DevSecOps的終極目標(biāo)是在安全團(tuán)隊(duì)與開(kāi)發(fā)人員之間架起橋梁，保證既快速、又安全地完成代碼交付。以往的孤島思維，也將由此被替代為在不同團(tuán)隊(duì)之間實(shí)現(xiàn)應(yīng)用安全責(zé)任分?jǐn)偂?/p>

DevSecOps實(shí)踐與工具

那我們要如何把這些目標(biāo)轉(zhuǎn)化為實(shí)踐?我們可以對(duì)哪些特定安全環(huán)節(jié)進(jìn)行自動(dòng)化，再將其集成至CI/CD管道當(dāng)中?讓我們結(jié)合DevSecOps工具與實(shí)踐的現(xiàn)實(shí)情況，共同為這些問(wèn)題找尋答案。

第一，漏洞掃描

掃描代碼內(nèi)的漏洞無(wú)疑是保護(hù)產(chǎn)品的第一步。而將漏洞掃描機(jī)制集成到CI/CD流程中，自然成為實(shí)現(xiàn)DevSecOps的絕佳起點(diǎn)。這意味著我們需要保證在交付管道中從代碼編寫(xiě)到生產(chǎn)部署的各個(gè)主要階段，全面檢查代碼中是否存在漏洞。大家需要保證負(fù)責(zé)管道各個(gè)環(huán)節(jié)的不同團(tuán)隊(duì)都擁有檢測(cè)代碼漏洞所需要的專(zhuān)業(yè)知識(shí)及技術(shù)工具。

這類(lèi)技術(shù)工具主要包括檢測(cè)專(zhuān)有代碼內(nèi)漏洞的SAST工具，以及檢測(cè)包含已知漏洞的開(kāi)源組件的SCA工具。不少SAST與SCA供應(yīng)商也都提供面向CI服務(wù)器、構(gòu)建工具、存儲(chǔ)庫(kù)以及IDE的集成方案，能夠幫助開(kāi)發(fā)人員更快發(fā)現(xiàn)問(wèn)題。

第二，運(yùn)行時(shí)保護(hù)

安全流程中的另一大關(guān)鍵在于運(yùn)行時(shí)保護(hù)，同樣需要以DevSecOps策略的形式被集成至CI/CD管道當(dāng)中。

運(yùn)行時(shí)保護(hù)的本質(zhì)，在于保護(hù)軟件免受應(yīng)用程序開(kāi)始運(yùn)行之后可能遭遇的威脅影響。盡管在傳統(tǒng)上，關(guān)于運(yùn)行時(shí)安全性的討論主要集中在軟件生產(chǎn)流程，但事實(shí)證明交付管道中的早期階段同樣可能存在運(yùn)行時(shí)威脅因素。即使并不存在，我們也同樣有必要及早考慮到這一安全問(wèn)題，從源頭抓起減輕運(yùn)行時(shí)威脅。出于這兩大基本原因，我們才應(yīng)該將運(yùn)行時(shí)安全納入CI/CD管道，而不再僅限于生產(chǎn)環(huán)境。

用于運(yùn)行時(shí)檢測(cè)的特定工具與策略，具體取決于企業(yè)的當(dāng)前業(yè)務(wù)需求。但大家至少要保證能夠監(jiān)控當(dāng)前應(yīng)用程序中是否存在可能與違規(guī)相關(guān)的異常行為。更重要的是，企業(yè)需要了解哪些環(huán)境變量或配置設(shè)定可能會(huì)在運(yùn)行時(shí)內(nèi)產(chǎn)生安全漏洞，并制定出相應(yīng)流程及時(shí)識(shí)別出此類(lèi)風(fēng)險(xiǎn)。

第三，云服務(wù)供應(yīng)商

向應(yīng)用程序交付流程中引入安全集成的另一大重要策略，在于充分利用云服務(wù)供應(yīng)商提供的安全功能。其中不少工具位于DevOps鏈的部署及部署后端，因此更多類(lèi)似于傳統(tǒng)意義上的事后安全服務(wù)。但其仍然能夠在應(yīng)用程序的外部防御體系中發(fā)揮重要作用——而且由于其屬于云基礎(chǔ)設(shè)施的固有組成部分，因此更易于實(shí)現(xiàn)自動(dòng)化與系統(tǒng)化。

請(qǐng)注意，云服務(wù)供應(yīng)商可能會(huì)默認(rèn)禁用某些安全功能，或者需要進(jìn)行相應(yīng)配置才能起效，因此大家可能需要主動(dòng)操作才能享受由此帶來(lái)的便利。

第四，標(biāo)準(zhǔn)與政策

安全標(biāo)準(zhǔn)與政策的制定在很大程度上仍然只能以手動(dòng)方式完成。企業(yè)可以自動(dòng)掃描源代碼及基礎(chǔ)設(shè)施中的漏洞，但在決定安全優(yōu)先級(jí)以及具體實(shí)施方式時(shí)還是少不了人類(lèi)知識(shí)的加持。同樣的，我們?cè)谠O(shè)計(jì)及代碼層級(jí)上建立安全標(biāo)準(zhǔn)時(shí)同樣無(wú)法完全依賴(lài)自動(dòng)化技術(shù)。

歐盟推行的《通用數(shù)據(jù)保護(hù)條例》(GDPR)也開(kāi)始明確要求在設(shè)計(jì)層面制定并實(shí)施安全標(biāo)準(zhǔn)。

另一方面，使用RBAC等編排工具/服務(wù)網(wǎng)格功能建立起的細(xì)粒度策略，則能夠在運(yùn)營(yíng)層面上實(shí)現(xiàn)一定程度的標(biāo)準(zhǔn)自動(dòng)化。而且與應(yīng)用程序源代碼內(nèi)的安全標(biāo)準(zhǔn)設(shè)計(jì)類(lèi)似，我們也有必要將基于角色的訪(fǎng)問(wèn)策略設(shè)計(jì)全面推廣，并將其視為一項(xiàng)高優(yōu)先級(jí)任務(wù)。

第五，容器與服務(wù)管理

在部署基于容器的大型應(yīng)用程序時(shí)，以Kubernetes為代表的容器編排工具已經(jīng)成為不可或缺的元素。服務(wù)網(wǎng)格能夠與編排工具協(xié)同工作，并管理服務(wù)發(fā)現(xiàn)、訪(fǎng)問(wèn)活動(dòng)等常見(jiàn)行為，同時(shí)快速厘清用戶(hù)、基于容器的應(yīng)用程序以及各外部服務(wù)之間的關(guān)系，幫助我們清晰明確地認(rèn)識(shí)當(dāng)前運(yùn)營(yíng)體系的總體情況。

而此類(lèi)工具已經(jīng)成為DevSecOps中的關(guān)鍵元素，它們能夠充分容器與外部世界之間的高可擴(kuò)展性隔離層(借此保證用戶(hù)或者潛在攻擊者只能訪(fǎng)問(wèn)隱藏在代理之后的服務(wù)，卻無(wú)法觸及任何單一容器)，并借此實(shí)現(xiàn)身份驗(yàn)證、授權(quán)及加密等功能。更重要的是，這些工具在設(shè)計(jì)之初就充分考慮到了自動(dòng)化需求，因此更易于匹配現(xiàn)代開(kāi)發(fā)及運(yùn)營(yíng)環(huán)境。

但與云服務(wù)供應(yīng)商提供的安全工具相比，編排工具及服務(wù)網(wǎng)格要求我們對(duì)其中的安全功能進(jìn)行深入研究，并在必要時(shí)主動(dòng)配置并加以啟用。例如，Kubernetes中基于角色的訪(fǎng)問(wèn)配置(RBAC)雖然已經(jīng)成為DevSecOps領(lǐng)域的一大重要元素，但默認(rèn)情況下并未直接啟用。

小結(jié)

要實(shí)現(xiàn)DevSecOps，大家必須對(duì)現(xiàn)有IT資源及DevOps流程開(kāi)展全面評(píng)估，而后建立起整體戰(zhàn)略以確保將高水平安全機(jī)制集成至流程之內(nèi)。除了前文提到的內(nèi)容之外，DevSecOps還包含眾多其他應(yīng)被納入實(shí)施策略的重要元素，例如監(jiān)控、日志分析與警報(bào)等。但其中不少已經(jīng)成為軟件及互聯(lián)網(wǎng)安全領(lǐng)域的標(biāo)準(zhǔn)元素，因此本文不再另作贅述。

當(dāng)安全性與CI/CD管道實(shí)現(xiàn)全面集成時(shí)，DevOps也將與DevSecOps彼此相融，共同成為“次世代軟件開(kāi)發(fā)”的新范式、新標(biāo)準(zhǔn)。