DevSecOps可能不是一個優(yōu)雅的術(shù)語，但其結(jié)果是有吸引力的: 在開發(fā)的早期帶來更強大的安全性。DevOps最終是要建立更好的軟件，也意味著更安全的軟件。

像任何IT術(shù)語一樣，DevSecOps--由DevOps衍生而來，很容易被炒作和盜用。但是這個術(shù)語對擁抱DevOps文化的IT領(lǐng)導(dǎo)者以及實現(xiàn)其承諾的實踐和工具而言，具有真正的意義。

DevSecOps什么意思?

Datic公司首席技術(shù)官兼共同創(chuàng)始人RobertReeves說：“DevSecOps是開發(fā)，安全和運維的組合。它提醒我們，對于應(yīng)用程序來說，安全和創(chuàng)建、部署到生產(chǎn)上同樣重要。”

向非技術(shù)人員解釋DevSecOps的一個簡單方法：它有意識地更早地將安全性融入到開發(fā)過程中。

紅帽安全戰(zhàn)略家Kirsten Newcomer 最近告訴我們： “歷史上，安全團隊從開發(fā)團隊中分離出來，每個團隊都在不同的IT領(lǐng)域擁有深厚的專業(yè)知識 。“其實不需要這樣。關(guān)心安全的企業(yè)也非常關(guān)心通過軟件快速交付業(yè)務(wù)價值的能力，這些企業(yè)正在尋找方法，將安全性留在應(yīng)用開發(fā)生命周期內(nèi)。通過在整個CI / CD中集成安全實踐，工具和自動化來采用DevSecOps。”

她說：“為了做到這一點，他們正在整合團隊。安全專業(yè)人員將從應(yīng)用開發(fā)團隊一直嵌入到生產(chǎn)部署中。” “雙方都看到了價值，每個團隊都拓展了他們的技能和知識基礎(chǔ)，成為更有價值的技術(shù)專家。正確的DevOps或DevSecOps ，提高IT安全性。”

IT團隊的任務(wù)是更快，更頻繁地交付服務(wù)。DevOps成為一個很好的推動因素，部分原因是它可以消除開發(fā)和運營團隊之間的一些傳統(tǒng)沖突，Ops通常在部署之前被排除在外，而Dev將其代碼丟在無形的墻上，從來不進行二次管理，更沒有任何的基礎(chǔ)設(shè)施維護責任。說得委婉一些，在數(shù)字化時代，這種孤立的做法會產(chǎn)生問題。按照Reeves的說法，如果安全是孤立的，也會存在類似的問題。

Reeves說：“我們采用DevOps，它被證明可以通過掃除開發(fā)與運維之間的障礙來提高IT的性能。“就像不應(yīng)該等到部署周期結(jié)束才開始運維一樣，也不應(yīng)該等到最后才考慮安全問題。”

DevSecOps為什么會出現(xiàn)?

將DevSecOps看作是另一個流行語是一種誘惑，但對于安全意識強的IT領(lǐng)導(dǎo)者來說，這是一個實質(zhì)性的概念。安全必須是軟件開發(fā)流程中的“一等公民”，而并非最終步驟部署，或者更糟糕，只有在發(fā)生實際的安全事件后才受到重視。

SumoLogic公司安全與合規(guī)副總裁George Gerchow表示：“DevSecOps不僅僅是一個流行詞，由于諸多原因它是IT的當前和未來狀態(tài)。“最重要的好處是能夠?qū)踩匀谌氲介_發(fā)和運營流程中，為實現(xiàn)敏捷性和創(chuàng)新提供保障。”

此外，在場景中出現(xiàn)的DevSecOps可能是DevOps自身正在成熟并深入挖掘IT內(nèi)部的另一個標志。

“企業(yè)DevOps文化意味著開發(fā)人員能夠以更快的速度向生產(chǎn)環(huán)境提供功能和更新，特別是當自組織團隊更加樂于協(xié)作和衡量結(jié)果。”CYBRIC首席技術(shù)官兼聯(lián)合創(chuàng)始人Mike Kail說。

在采用DevOps的同時，保持原有的安全實踐的團隊和公司會遇到更多的管理安全風險的痛苦，因為DevOps團隊會部署地更快、更頻繁。

手動測試安全方法逐漸落后

“目前，手動測試安全方法逐漸落后，利用自動化和協(xié)作將安全測試轉(zhuǎn)移到軟件開發(fā)生命周期，從而推動DevSecOps文化，這是IT領(lǐng)導(dǎo)者提高整體彈性和交付安全保證的唯一路徑。”凱爾說。

(早期)對安全性測試的改變也讓開發(fā)人員受益：在開發(fā)新服務(wù)或部署更新服務(wù)之前，他們并沒有發(fā)現(xiàn)代碼中的明顯漏洞，而是經(jīng)常在開發(fā)的早期階段發(fā)現(xiàn)并解決潛在的問題，幾乎沒有安全人員的介入。

SAS首席信息安全官Brian Wilson表示：“正確的做法是，DevSecOps可以將安全性納入開發(fā)生命周期，使開發(fā)人員能夠更快，更方便地保護應(yīng)用程序，不會造成安全干擾。

Wilson將靜態(tài)(SAST)和源代碼分析(SCA)工具集成到團隊的持續(xù)交付中，幫助開發(fā)人員在代碼中對潛在問題，以及第三方依賴的漏洞進行反饋。

Wilson說：“開發(fā)人員可以主動、反復(fù)地緩解app的安全問題，并重新進行安全掃描，無需安全人員參與。DevSecOps還可以幫助開發(fā)團隊簡化更新和修補程序。

DevSecOps并不意味著企業(yè)不再需要安全專家，就像DevOps并不意味著企業(yè)不再需要基礎(chǔ)架構(gòu)專家一樣。它只是有助于減少瑕疵進入生產(chǎn)的可能性，或減緩部署。

DevSecOps遭遇的危機

來自Sumo Logic公司的Gerchow分享了DevSecOps文化的實例：當最近的Meltdown和Spectre消息出現(xiàn)時，團隊的DevSecOps方法能夠迅速做出響應(yīng)，以減輕風險，而對內(nèi)外部客戶沒有任何明顯的干擾。 對云原生和受高度監(jiān)管的公司來說非常重要。

第一步，Gerchow的小型安全團隊(具備開發(fā)技能)能夠通過Slack與其主要云供應(yīng)商之一合作，確保基礎(chǔ)設(shè)施在24小時內(nèi)完全修補好。

“然后，我的團隊立即開始了OS級別的修復(fù)，不需要給終端用戶停機時間，也無需請求工程師，那樣意味著要等待長時間的變更管理流程。所有這些變化都是通過Slack打開自動化Jira tickets進行的，并通過日志和分析解決方案進行監(jiān)控，“Gerchow解釋說。

這聽起來像DevOps文化，正確的人員、流程和工具組合相匹配，但它明確地將安全作為該文化和組合的一部分。

Gerchow說：“在傳統(tǒng)環(huán)境下，停機需要花費數(shù)周或數(shù)月的時間，因為開發(fā)、運營和安全這三項功能都是孤立的。憑借DevSecOps流程和理念，終端用戶可以通過簡單的溝通和當天的修復(fù)獲得無縫的體驗。”

2018DevSecOps三大預(yù)測

2018年企業(yè)的DevSecOps將迎來一些真正的變革。

對于DevSecOps來說，2017年是美好的一年，DevSecOps從一個半朦朧的概念演變成可行的企業(yè)功能。

容器和容器市場的迅速擴張在很大程度上推動了這一演變，容器市場本質(zhì)上與DevOps和DevSecOps相互交織在一起。一般來說，快速增長和創(chuàng)新往往比科學(xué)更能預(yù)測趨勢，但我仍然愿意嘗試一下。

從Docker Hub和成熟的容器生態(tài)系統(tǒng)中獲取了超過120億張圖片，就企業(yè)的DevSecOps而言，我們幾乎看不到冰山的一角。不過，相信在2018年，我們將看到：基礎(chǔ)變革的開始。我認為它會是這樣的：

1.企業(yè)領(lǐng)導(dǎo)者和IT利益相關(guān)者意識到DevSecOps正在改進DevOps

DevOps將開發(fā)團隊和運維團隊聚在一起，它推動協(xié)作文化不足為奇。加入安全舉措可能聽起來很簡單，但多年來，安全問題一直是事后的事情，導(dǎo)致企業(yè)文化容易使安全團隊與其他IT團隊形成對立，包括開發(fā)團隊。

但是事情發(fā)生了變化。

在雅虎虧損3.5億美元的商業(yè)環(huán)境下，暴露了其脆弱的安全狀況，企業(yè)領(lǐng)導(dǎo)者將網(wǎng)絡(luò)安全看作是一個運維sinkhole的時代已經(jīng)結(jié)束。加強網(wǎng)絡(luò)安全現(xiàn)在是企業(yè)的當務(wù)之急。但這種轉(zhuǎn)變需要時間才能重新回到IT文化中。

DevOps和DevSecOps的崛起無疑為重塑應(yīng)用程序安全性創(chuàng)造了一個難得且令人興奮的機會，但是DevOps可能會導(dǎo)致轉(zhuǎn)變速度發(fā)生變化。DevOps團隊和應(yīng)用程序架構(gòu)師每天都能夠認識到安全的重要性，并歡迎安全團隊的加入，但他們之間仍然存在需要磨合的鴻溝。

為正確實施DevSecOps，安全團隊需要與DevOps團隊保持一致，企業(yè)領(lǐng)導(dǎo)者需要為此打造空間和預(yù)算。到2019年，希望企業(yè)領(lǐng)導(dǎo)人能夠意識到推動一個重要的、合法的安全勝利的機會。

2.成功的組織模式將會出現(xiàn)，最可能的是，安全與DevOps團隊之間的緊密協(xié)作。

雖然該預(yù)測并不特別具有啟發(fā)性，但是相關(guān)的。了解DevSecOps需要來自安全和DevOps團隊的平等協(xié)作，快速跟蹤標準藍圖或?qū)嵤┠Ｐ停瑢evSecOps集成(并最終自動化)到CI / CD進程中。

雖然不同企業(yè)有不同的需求，但大多數(shù)公司都使用相同的技術(shù)工具，特別是在使用容器的情況下。這就為統(tǒng)一的標準化提供了條件。此外，容器的開源特性可以促進相關(guān)信息的共享和標準開發(fā)。

到目前為止，由于DevOps團隊擁有開發(fā)流程，他們一直在安全方面處于領(lǐng)先地位。然而，我認為，DevSecOps需要由安全團隊領(lǐng)導(dǎo)， 他們是負責企業(yè)安全和風險的人，當安全事故發(fā)生時，他們會被解雇或被迫離開。

2018年，安全團隊需要加強并展示團隊的價值和技能。將安全性融入到IT結(jié)構(gòu)中，而不是在網(wǎng)絡(luò)安全問題成為事實之后才想起。現(xiàn)在我們有機會來實現(xiàn)這一目標。

3.安全團隊仍然要緩慢適應(yīng)DevOps的現(xiàn)實

過去，企業(yè)安全團隊通常在不重視或不了解安全需要的文化中運營。難怪今天的電商環(huán)境是大多數(shù)企業(yè)相對容易被破壞的環(huán)境。

強大的安全性不僅僅是外圍的防火墻。盡管許多安全專家可能最終會看到這種轉(zhuǎn)變，但可能不像DevOps團隊所期望的那樣靈活。當談到容器(通常是appsec)時，即使是最有才華和最優(yōu)秀的安全專家也會面臨學(xué)習(xí)的瓶頸。更不用說已經(jīng)被充分證明的網(wǎng)絡(luò)安全技能短缺的現(xiàn)狀。

雖然這些因素可能在短期內(nèi)降低安全對DevOps和 DevSecOps的支持，但是我認為DevSecOps是解決技能短缺問題的一部分。將安全集成到應(yīng)用程序交付過程中，并將其自動化比用回溯方法更有效率和更具成本效益，可以解決在部署應(yīng)用程序之前解決安全漏洞。安全專業(yè)人士可以通過開放的態(tài)度，以新的方式發(fā)揮他們的才能，從而獲得很多收益。

2018年希望這個故事有一個快樂的結(jié)局。