[[279983]]

DevSecOps 對 DevOps 進(jìn)行了改進(jìn)，以確保安全性仍然是該過程的一個(gè)重要部分。

到目前為止，DevOps 在 IT 世界中已廣為人知，但其并非完美無缺。試想一下，你在一個(gè)項(xiàng)目的現(xiàn)代應(yīng)用程序交付中實(shí)施了所有 DevOps 工程實(shí)踐。你已經(jīng)到達(dá)開發(fā)流程的末尾，但是滲透測試團(tuán)隊(duì)（內(nèi)部或外部）檢測到安全漏洞并提出了報(bào)告。現(xiàn)在，你必須重新啟動所有流程，并要求開發(fā)人員修復(fù)該漏洞。

在基于 DevOps 的軟件開發(fā)生命周期（SDLC）系統(tǒng)中，這并不繁瑣，但它確實(shí)會浪費(fèi)時(shí)間并影響交付進(jìn)度。如果從 SDLC 初期就已經(jīng)集成了安全性，那么你可能已經(jīng)跟蹤到了該故障，并在開發(fā)流程中就消除了它。但是，如上述情形那樣，將安全性推到開發(fā)流程的最后將導(dǎo)致更長的開發(fā)生命周期。

這就是引入 DevSecOps 的原因，它以自動化的方式鞏固了整個(gè)軟件交付周期。

在現(xiàn)代 DevOps 方法中，組織廣泛使用容器托管應(yīng)用程序，我們看到 Kubernetes 和 Istio 使用的較多。但是，這些工具都有其自身的漏洞。例如，云原生計(jì)算基金會（CNCF）最近完成了一項(xiàng) kubernetes 安全審計(jì)，發(fā)現(xiàn)了幾個(gè)問題。DevOps 開發(fā)流程中使用的所有工具在流程運(yùn)行時(shí)都需要進(jìn)行安全檢查，DevSecOps 會推動管理員去監(jiān)視工具的存儲庫以獲取升級和補(bǔ)丁。

什么是 DevSecOps?

與 DevOps 一樣，DevSecOps 是開發(fā)人員和 IT 運(yùn)營團(tuán)隊(duì)在開發(fā)和部署軟件應(yīng)用程序時(shí)所遵循的一種思維方式或文化。它將主動和自動化的安全審計(jì)以及滲透測試集成到敏捷應(yīng)用程序開發(fā)中。

要使用 DevSecOps，你需要：

• 從 SDLC 開始就引入安全性概念，以最大程度地減少軟件代碼中的漏洞。
• 確保每個(gè)人（包括開發(fā)人員和 IT 運(yùn)營團(tuán)隊(duì)）共同承擔(dān)在其任務(wù)中遵循安全實(shí)踐的責(zé)任。
• 在 DevOps 工作流程開始時(shí)集成安全控件、工具和流程。這些將在軟件交付的每個(gè)階段啟用自動安全檢查。

DevOps 一直致力于在開發(fā)和發(fā)布過程中包括安全性以及質(zhì)量保證（QA）、數(shù)據(jù)庫管理和其他所有方面。然而，DevSecOps 是該過程的一個(gè)演進(jìn)，以確保安全永遠(yuǎn)不會被遺忘，成為該過程的一個(gè)重要部分。

了解 DevSecOps 流程

典型的 DevOps 流程有不同的階段；典型的 SDLC 流程包括計(jì)劃、編碼、構(gòu)建、測試、發(fā)布和部署等階段。在 DevSecOps 中，每個(gè)階段都會應(yīng)用特定的安全檢查。

• 計(jì)劃：執(zhí)行安全性分析并創(chuàng)建測試計(jì)劃，以確定在何處、如何以及何時(shí)進(jìn)行測試的方案。
• 編碼：部署整理工具和 Git 控件以保護(hù)密碼和 API 密鑰。
• 構(gòu)建：在構(gòu)建執(zhí)行代碼時(shí)，請結(jié)合使用靜態(tài)應(yīng)用程序安全測試（SAST）工具來跟蹤代碼中的缺陷，然后再部署到生產(chǎn)環(huán)境中。這些工具針對特定的編程語言。
• 測試：在運(yùn)行時(shí)使用動態(tài)應(yīng)用程序安全測試（DAST）工具來測試您的應(yīng)用程序。 這些工具可以檢測與用戶身份驗(yàn)證，授權(quán)，SQL 注入以及與 API 相關(guān)的端點(diǎn)相關(guān)的錯誤。
• 發(fā)布：在發(fā)布應(yīng)用程序之前，請使用安全分析工具來進(jìn)行全面的滲透測試和漏洞掃描。
• 部署：在運(yùn)行時(shí)完成上述測試后，將安全的版本發(fā)送到生產(chǎn)中以進(jìn)行最終部署。

DevSecOps 工具

SDLC 的每個(gè)階段都有可用的工具。有些是商業(yè)產(chǎn)品，但大多數(shù)是開源的。在我的下一篇文章中，我將更多地討論在流程的不同階段使用的工具。

隨著基于現(xiàn)代 IT 基礎(chǔ)設(shè)施的企業(yè)安全威脅的復(fù)雜性增加，DevSecOps 將發(fā)揮更加關(guān)鍵的作用。然而，DevSecOps 流程將需要隨著時(shí)間的推移而改進(jìn)，而不是僅僅依靠同時(shí)實(shí)施所有安全更改即可。這將消除回溯或應(yīng)用交付失敗的可能性。