只要實(shí)施得當(dāng)，DevOps足以為各類企業(yè)組織帶來豐碩的回報(bào)，比如改善團(tuán)隊(duì)間的協(xié)作效果、加快產(chǎn)品上市速度、提高整體效率并提升客戶滿意度等等。但如果不切實(shí)考慮安全保障，那么以上一切積極因素都無法真正轉(zhuǎn)化為收益。忽略掉安全問題，一切利用DevOps改善工作流程的努力都將付之東流。DevSecOps則有望破解這一困局。

在本文中，我們將共同了解各類DevSecOps實(shí)施步驟及其常見誤區(qū)。

[[407539]]

在DevOps出現(xiàn)之前，企業(yè)組織只在軟件開發(fā)生命周期(SDLC)的最后階段對(duì)產(chǎn)品進(jìn)行安全檢查。由于關(guān)注重點(diǎn)主要集中在應(yīng)用程序開發(fā)環(huán)節(jié)上，因此相當(dāng)于變相認(rèn)定安全性不及其他環(huán)節(jié)重要。到工程師開展安全檢查時(shí)，產(chǎn)品的大部分開發(fā)流程已經(jīng)結(jié)束，因此即使發(fā)現(xiàn)了安全缺陷，也意味著必須重新編寫無數(shù)行代碼——這無疑是一項(xiàng)費(fèi)力且耗時(shí)的任務(wù)。也正因?yàn)槿绱?，企業(yè)在這時(shí)候往往會(huì)選擇能修則修、能拖則拖。換言之，安全保障成了一種“安慰劑”，而不是真正值得大力推動(dòng)及投入的重要工作。

過去十年以來，IT基礎(chǔ)設(shè)施經(jīng)歷了一場(chǎng)巨大的變化。但大多數(shù)安全性與合規(guī)性監(jiān)控工具并沒有同步實(shí)現(xiàn)升級(jí)。最終結(jié)果就是，大部分工具無法根據(jù)典型DevOps的需求快速測(cè)試代碼。

此外，網(wǎng)絡(luò)犯罪攻擊則以驚人的速度不斷擴(kuò)大。Juniper Research發(fā)布的一份報(bào)告預(yù)測(cè)，隨著越來越多業(yè)務(wù)基礎(chǔ)設(shè)施的相互對(duì)接，2020年內(nèi)單次數(shù)據(jù)泄露帶來的平均損失將超過1.5億美元。

很明顯，實(shí)施DevSecOps將帶來直接而積極的影響，成為我們手中抵御潛在攻擊挑戰(zhàn)的穩(wěn)固之盾。

安全性貫穿在DevOps流程的各個(gè)階段當(dāng)中

“既要快速交付代碼，又要保障代碼安全”，這聽起來似乎是種相互矛盾的要求。但DevSecOps表示偏不信這個(gè)邪。

DevSecOps是一種以“安全生產(chǎn)、人人有責(zé)”的立場(chǎng)處理IT安全工作的方法。它要求將安全實(shí)踐納入到DevOps管道當(dāng)中，希望借此實(shí)現(xiàn)安全保障在各個(gè)軟件開發(fā)工作環(huán)節(jié)中的全面滲透。但這種全流程保護(hù)的方法，明顯與以往只在軟件開發(fā)生命周期最終階段關(guān)注安全的傳統(tǒng)方法有所沖突。

如果企業(yè)已經(jīng)在推進(jìn)DevOps，那么考慮轉(zhuǎn)向DevSecOps肯定是個(gè)好主意。DevSecOps的核心與DevOps原則高度契合，因此轉(zhuǎn)換工作并不會(huì)特別困難。通過轉(zhuǎn)換，企業(yè)能夠?qū)碜圆煌瑢W(xué)科的技術(shù)人員匯聚起來，全面增強(qiáng)現(xiàn)有安全流程。

DevSecOps的常見誤區(qū)

DevSecOps中也存在著不少誤區(qū)。比如說，”我們需要‘超級(jí)開發(fā)者’才能實(shí)現(xiàn)DevSecOps“。事實(shí)并非如此。DevSecOps的實(shí)施并不需要那種“超級(jí)英雄”級(jí)別的開發(fā)人員。只要配合適當(dāng)?shù)募夹g(shù)與觀念培訓(xùn)，充分引導(dǎo)員工們對(duì)DevSecOps給予關(guān)注，每個(gè)人都能成為這股浪潮中的弄潮兒。而且DevSecOps一直強(qiáng)調(diào)打破職能孤島，因此開發(fā)團(tuán)隊(duì)?wèi)?yīng)該吸納具有不同技能的人員，為他們提供關(guān)于DevSecOps流程及方法的培訓(xùn)課程，最終與整個(gè)產(chǎn)品交付管道相匹配。所以，只要培養(yǎng)現(xiàn)有團(tuán)隊(duì)即可，并不需要雇用一支全新的獨(dú)立軍團(tuán)。

另外一個(gè)常見誤區(qū)是，”DevSecOps能替代敏捷化“。其實(shí)DevSecOps只是對(duì)敏捷化做出了補(bǔ)充，但本身并不能替代敏捷化。二者必須共存，才能保證企業(yè)最大限度提升自身業(yè)務(wù)收益。敏捷化強(qiáng)調(diào)促進(jìn)協(xié)作并持續(xù)反饋，但與DevSecOps不同的是，敏捷化并不涉及軟件的測(cè)試、質(zhì)量保證(QA)與生產(chǎn)等環(huán)節(jié)。DevSecOps則要求借敏捷之力全方位增強(qiáng)現(xiàn)有業(yè)務(wù)流程。

第三個(gè)誤區(qū)是，”肯花錢就能實(shí)現(xiàn)DevSecOps“。不盡然。我們能買的只是流程工具，例如用于發(fā)布管理和CI/CD的工具，但卻沒法直接買下整個(gè)DevSecOps流程。DevSecOps代表的是一種哲學(xué)、一種方法論。真正對(duì)業(yè)務(wù)產(chǎn)生直接影響的東西，也就是團(tuán)隊(duì)間的高效協(xié)作以及團(tuán)隊(duì)成員的責(zé)任心，是沒法直接買到的。

隨著越來越多的企業(yè)意識(shí)到DevSecOps的重要性，DevSecOps工程師也愈發(fā)受到人才市場(chǎng)的追捧。那么，最出色的工程師到底該擁有哪些特質(zhì)?DevSecOps工程師角色本身，必須掌握一些補(bǔ)充性的技能，例如對(duì)DevOps核心原則、實(shí)踐及文化傾向的深刻理解。候選人還應(yīng)該熟練掌握Python、Java及Ruby等語言。此外，優(yōu)秀的DevSecOps工程師還應(yīng)該能輕松運(yùn)用Chef、Puppet、Checkmarx以及ThreatModeler等程序。

除此之外，DevSecOps專業(yè)人士還需要了解風(fēng)險(xiǎn)評(píng)估與威脅建模技術(shù)的復(fù)雜性，理解最新網(wǎng)絡(luò)安全威脅、現(xiàn)代最佳實(shí)踐及其他相關(guān)軟件。在工作經(jīng)驗(yàn)層面，擁有DevSecOps從業(yè)經(jīng)歷當(dāng)然是最好的。但純IT安全(不涉及DevOps)從業(yè)經(jīng)驗(yàn)也足以支撐起DevSecOps工程師們敏銳的安全嗅覺。

DevSecOps優(yōu)秀實(shí)踐

在DevSecOps的規(guī)劃與實(shí)施過程中，這幾方面因素發(fā)揮著重要作用：

首先，安全編碼實(shí)踐。安全編碼的重要意義，在于開發(fā)出對(duì)安全漏洞具有較高抵御能力的軟件。而非安全的編碼實(shí)踐可能引發(fā)多種軟件安全風(fēng)險(xiǎn)，例如泄露企業(yè)組織內(nèi)的機(jī)密信息。因此，最重要的是保證開發(fā)人員擁有充分的技能儲(chǔ)備，并積極在時(shí)間與成本投入方面給予支持。此外，企業(yè)還應(yīng)建立并遵循編碼標(biāo)準(zhǔn)，幫助開發(fā)人員們編寫出更多高質(zhì)量代碼。

第二，擁抱自動(dòng)化。與DevOps一樣，自動(dòng)化在DevSecOps中同樣至關(guān)重要。為了在CI/CD環(huán)境中讓安全保障速度與代碼交付速度相匹配，安全也必須邁向自動(dòng)化新時(shí)代。沒有這一前提，大型企業(yè)組織根本無法有效保護(hù)開發(fā)者每天提交的大量代碼版本。

對(duì)于自動(dòng)化安全測(cè)試，我們必須做出萬全的考慮。出于錯(cuò)誤目的而選擇了錯(cuò)誤的自動(dòng)化工具，反而可能帶來巨大的危害。靜態(tài)應(yīng)用程序安全測(cè)試(SAST)工具目前被廣泛應(yīng)用于開發(fā)周期早期的持續(xù)檢測(cè)與問題識(shí)別方案。只有匹配實(shí)際需求選擇合適的安全自動(dòng)化工具，產(chǎn)品的順利交付才能真正得到有效保障。

第三，左移方法。左移測(cè)試方法的核心，是在周期之初就將安全性融入應(yīng)用程序之內(nèi)，而不再等待交付鏈最后階段的到來。這種方式的主要優(yōu)勢(shì)在于加快潛在漏洞的識(shí)別速度并即刻加以解決。這種方法本身雖然好處多多，但也會(huì)帶來不少隱患。左移方法的一大常見挑戰(zhàn)，就是會(huì)暫時(shí)中斷現(xiàn)有DevOps工作流程。這確實(shí)是個(gè)問題，但如果企業(yè)決意采用DevSecOps，那么左稱方法從長(zhǎng)遠(yuǎn)來看仍是一項(xiàng)不可或缺的最佳實(shí)踐。

第四，人員、流程與技術(shù)。在DevSecOps的成功實(shí)施方面，人員、流程與技術(shù)可謂三位一體，缺一而不可。哪怕其他條件再完備，如果員工對(duì)文化革新不感興趣，那么成熟有效的DevSecOps環(huán)境根本無從談起。雖然說服高層管理團(tuán)隊(duì)接納這樣的重大轉(zhuǎn)變可能困難重重，但因安全態(tài)勢(shì)惡劣而頻繁引發(fā)的重大數(shù)據(jù)泄露事件應(yīng)該引起大家的高度重視。所以除了安全專家的引導(dǎo)之外，盡可能發(fā)展安全擁護(hù)者對(duì)于DevSecOps的良好運(yùn)作同樣至關(guān)重要。

任何流程都由多個(gè)環(huán)節(jié)組成，其中最重要的當(dāng)然是工作流標(biāo)準(zhǔn)化與文檔化。一般來說，企業(yè)組織內(nèi)的各個(gè)團(tuán)隊(duì)需要執(zhí)行不同的流程，而DevSecOps則需要團(tuán)隊(duì)共同商定統(tǒng)一流程、并通過協(xié)同執(zhí)行加強(qiáng)開發(fā)周期中的安全水平。同時(shí)，技術(shù)能夠幫助人們高效執(zhí)行DevSecOps流程，其具體實(shí)踐中涉及的常見技術(shù)包括自動(dòng)化與配置管理、安全即代碼、自動(dòng)合規(guī)性掃描以及主機(jī)強(qiáng)化等等。

如何實(shí)施DevSecOps

可以想見，DevSecOps的實(shí)施將是一個(gè)復(fù)雜的流程。我們現(xiàn)在將這個(gè)流程拆解成以下幾個(gè)具體步驟，雖然還沒有任何具體的、連續(xù)的路線圖式步驟設(shè)計(jì)，但其中大多涵蓋以下環(huán)節(jié)。

首先，一切以規(guī)劃為起點(diǎn)。規(guī)劃的戰(zhàn)略水平與簡(jiǎn)潔程度將直接決定最終實(shí)施結(jié)果。因此，單靠對(duì)功能特性的描述還遠(yuǎn)遠(yuǎn)不夠，專家們還需要建立起測(cè)試驗(yàn)收標(biāo)準(zhǔn)、用戶設(shè)計(jì)以及威脅模型。下一階段則是開發(fā)環(huán)節(jié)，團(tuán)隊(duì)?wèi)?yīng)首先對(duì)現(xiàn)有實(shí)踐的成熟度開展評(píng)估。在此階段，大家可以通過多個(gè)來源收集資源以作為路線指導(dǎo)，也可以建立起代碼審查系統(tǒng)。由此支撐起的統(tǒng)一架構(gòu)，將成為DevSecOps后期成功的重要基礎(chǔ)。

之后則是構(gòu)建環(huán)節(jié)，自動(dòng)化構(gòu)建工具無疑是這一階段中絕對(duì)的主角。利用此類工具，我們可以構(gòu)建腳本、將源代碼組合為機(jī)器碼等。自動(dòng)化構(gòu)建工具不僅提供多種強(qiáng)大的功能、豐富的插件庫(kù)，還具備多種易于上手的用戶界面，其中一部分甚至能夠自動(dòng)檢測(cè)易受攻擊的庫(kù)并及時(shí)加以替換。下一步則是測(cè)試，通過穩(wěn)定可靠的測(cè)試實(shí)踐將強(qiáng)大的自動(dòng)化測(cè)試框架全面引入管道當(dāng)中。部署工作通常通過IaC工具進(jìn)行，由其自動(dòng)執(zhí)行流程并加快軟件交付速度。

作為另一大關(guān)鍵步驟，運(yùn)營(yíng)維護(hù)無疑是運(yùn)營(yíng)團(tuán)隊(duì)的一項(xiàng)常規(guī)職能?？紤]到零日漏洞可能引發(fā)的巨大威脅，運(yùn)營(yíng)團(tuán)隊(duì)必須給予關(guān)注;此外，運(yùn)營(yíng)團(tuán)隊(duì)還需要重視人為錯(cuò)誤蔓延，包括使用DevSecOps通過IaC工具快速高效地保護(hù)企業(yè)自有基礎(chǔ)設(shè)施。流程中的另一項(xiàng)重要因素，在于使用強(qiáng)大且持續(xù)性的監(jiān)控工具，借此保證安全系統(tǒng)能夠按預(yù)期形式運(yùn)行。

規(guī)模擴(kuò)展同樣不容忽視。虛擬化技術(shù)的出現(xiàn)，意味著企業(yè)不再需要浪費(fèi)資源來維護(hù)大型數(shù)據(jù)中心。相反，一旦發(fā)生任何威脅，企業(yè)也可以直接擴(kuò)展IT基礎(chǔ)設(shè)施規(guī)模以消化突發(fā)沖擊。

以上只是DevSecOps實(shí)施中的一些基礎(chǔ)步驟。根據(jù)項(xiàng)目的具體規(guī)模與復(fù)雜性，路線圖可能還需要涵蓋另外一些特定附加步驟。

DevSecOps挑戰(zhàn)

當(dāng)然，DevSecOps的實(shí)施也必然伴隨著一系列挑戰(zhàn)。

阻礙大部分企業(yè)轉(zhuǎn)向DevSecOps的頭號(hào)挑戰(zhàn)，當(dāng)數(shù)文化層面的抵觸情緒，畢竟人更喜歡待在自己熟悉的舒適區(qū)內(nèi)。另外，在傳統(tǒng)軟件開發(fā)模式當(dāng)中，安全保障更多屬于“馬后炮”式的措施，聊勝于無而已。

此外，DevSecOps還強(qiáng)調(diào)將開發(fā)人員與安全專家統(tǒng)一起來，共同建立起協(xié)作環(huán)境。但這兩大團(tuán)隊(duì)間總是存在一定程度的摩擦，甚至認(rèn)定對(duì)方總在跟自己作對(duì)。這種觀點(diǎn)導(dǎo)致二者“老死不相往來”，直接違背了DevSecOps的核心原則。只有改變這種兩頭，才能讓DevSecOps文化思維在企業(yè)內(nèi)發(fā)展成熟、開花結(jié)果。

另一大常見挑戰(zhàn)，在于人們往往認(rèn)定安全保障會(huì)拖慢工作速度、甚至阻礙創(chuàng)新嘗試。為了滿足現(xiàn)代業(yè)務(wù)需求，開發(fā)人員希望不斷加快代碼的交付速度。但是，安全團(tuán)隊(duì)的核心重點(diǎn)在于保障代碼安全，而這兩個(gè)截然不同的目標(biāo)導(dǎo)致團(tuán)隊(duì)之間難以彼此理解、協(xié)同工作。

根據(jù)Cybersecurity Ventures發(fā)布的報(bào)告，到2021年全球網(wǎng)絡(luò)安全職位空缺將多達(dá)350萬個(gè)。由此可以推斷，盡管安全漏洞與攻擊事件一直在不斷增加，但市場(chǎng)上仍然缺乏充足的網(wǎng)絡(luò)安全工程師人才。為此，安全專家稀缺很可能成為中小型企業(yè)機(jī)構(gòu)的巨大難題。

與開發(fā)及安全團(tuán)隊(duì)間的協(xié)作不同，運(yùn)營(yíng)與安全結(jié)合的復(fù)雜度往往更高。對(duì)于前兩者，我們只需要向開發(fā)人員傳授安全最佳實(shí)踐，并引導(dǎo)他們與安全團(tuán)隊(duì)密切合作。雖然這一切確實(shí)會(huì)改變開發(fā)者的某些日常習(xí)慣，但總體來說變化不大。但在嘗試引導(dǎo)運(yùn)營(yíng)團(tuán)隊(duì)與安全團(tuán)隊(duì)協(xié)作時(shí)，情況就完全不同了。當(dāng)運(yùn)營(yíng)工程師發(fā)現(xiàn)任何異常時(shí)，他們想到的往往并不是安全漏洞。對(duì)他們來說，最大的隱患往往來自軟件配置錯(cuò)誤或者基礎(chǔ)設(shè)施故障。但對(duì)安全團(tuán)隊(duì)來說，異常會(huì)讓他們本能地意識(shí)到可能存在潛在漏洞。因此，運(yùn)營(yíng)工程師們必須重新調(diào)整自己對(duì)運(yùn)營(yíng)環(huán)境的分析方法。

DevSecOps的助益

DevSecOps最重要、也最明顯的助益就是幫助提高整體安全性。如前所述，大家可以在管道的早期階段發(fā)現(xiàn)漏洞，由此降低修復(fù)難度。而且由于持續(xù)監(jiān)控到位，DevSecOps還能增強(qiáng)威脅搜尋能力。從商業(yè)角度來看，產(chǎn)品安全度越高、營(yíng)銷難度就越低。

從SDLC的起步階段搜尋漏洞，意味著能夠以更低成本將其修復(fù)。多個(gè)團(tuán)隊(duì)將聚集一處共同處理安全問題，由此改善問責(zé)能力。這種協(xié)作還有助于提出更加快速有效的安全響應(yīng)策略，進(jìn)而構(gòu)建起更強(qiáng)大的安全設(shè)計(jì)模式。

DevSecOps還最大限度降低了安全瓶頸的出現(xiàn)頻率。在運(yùn)行安全檢查之前，安全專家不必等待開發(fā)周期徹底完成。這兩大因素進(jìn)一步加快了產(chǎn)品交付速度。

DevSecOps還能夠幫助企業(yè)更好地遵循行業(yè)標(biāo)準(zhǔn)法規(guī)?！锻ㄓ脭?shù)據(jù)保護(hù)條例》(GDPR)等法規(guī)要求人們以更謹(jǐn)慎的態(tài)度處理數(shù)據(jù)。DevSecOps則為管理人員提供更全面的合規(guī)要求印象，以框架的形式降低合規(guī)性難度。

小結(jié)

毫無疑問，DevSecOps將徹底改變企業(yè)的安全實(shí)現(xiàn)方式。但出于種種原因，包括缺乏對(duì)DevSecOps本質(zhì)的正確認(rèn)識(shí)、員工態(tài)度消極、預(yù)算有限以及術(shù)語定義含糊不清等，不少中小型企業(yè)對(duì)于DevSecOps仍然抱有懷疑態(tài)度。

但必須承認(rèn)，DevSecOps完全有能力從技術(shù)及業(yè)務(wù)層面為企業(yè)帶來巨大助益。雖然在起步階段總會(huì)有些小問題，但從長(zhǎng)遠(yuǎn)來看，DevSecOps的實(shí)施將幫助企業(yè)一步步脫胎換骨，助力迎來一條未曾設(shè)想的發(fā)展道路。