【51CTO.com快譯】2015年Mir Ali加入惠譽評級(Fitch Ratings)時，公司已經在熱議改變軟件流程，原因是軟件堆棧不可靠。惠譽評級是一家金融公司，與穆迪和標準普爾同為美國證券交易委員會(SEC)認定的三大全國公認的統計評級機構。

現為惠譽共享服務主管的Ali表示，讓一家百年歷史的公司改用DevSecOps(開發安全運維)并非易事。但再也不能無視存在的問題了。他說，大家基本上不明白出現在生產環境中的情況。故障太多，無法追根溯源，整條管道上下缺乏合作。事件發生時，沒有人知道原因，也不知道該怎么做。標準程序就是重啟數據庫服務。這在SEC監管的公司顯然是不可接受的。

重大挑戰

一個挑戰是普遍缺乏安全知識。另一個挑戰是缺乏合作或對個人的責任缺乏了解。***是自動化不足。

起初，有很多事情要做，很難分清輕重緩急。團隊冷靜下來思考，對于他們想要的內容從長計議，而這個愿景為他們隨后的所有決策提供了指導。

他們決定將消除安全缺陷放在首位。剩余的任務分為三個方面。他們希望在整個開發過程中確保安全，并在整個公司中實現這套流程標準化。***，他們希望盡可能地簡化流程。

Ali表示，簡而言之，DevSecOps擴大了DevOps合作的范圍，包括安全。

devsecops.org聲稱：“DevSecOps的目的和意圖是立足于‘每個人都對安全負責’這個理念，目的是在不犧牲所需安全的情況下，盡快讓***層的人員做出安全決策。”

在整個開發過程中運用安全

Ali表示，關鍵是將安全整合到DevOps管道中，因而讓安全成為整個軟件開發過程中不可或缺的一部分。

圖1：惠譽的DevSecOps管道中的安全檢查點

管理團隊一開始在打破整個DevOps管道的孤島時，將安全專家安插到了每個團隊。他說：“讓他們覺得自己是團隊的一員，聽取他們的意見，運用他們的技能。讓這成為自動化的一部分。”安全專家讓你洞察上下文，提供了專業知識，了解***風險以及我們需要注意什么。安全成了每個人的工作。

接下來，他們部署了安全工具。Ali說：“這不僅僅與工具有關，你還要部署使安全成為可能的工具。”比如說，良好的儀表板以及自動化是關鍵。為了確保持續交付管道的安全性，適當的訪問控制、嚴加保護構建系統以及統一命名約定是幾個優先事項。

他們從容易見效的方面著手。雅虎的數據泄露是由于它的系統沒有落實密碼保護機制，因此有人克隆了其數據庫。他表示，應該避免這樣的情況。所以***步是，默認任何人都無權訪問。必須授予權限，而且完全基于角色并自動化。

“加密一切”成了新的座右銘。深入了解管道是另一個關鍵方面。Ali建議：“確保日志條目一目了然。”許多日志看起來像亂碼，這在排除故障時毫無助益。

設立安全檢查點

一旦基本的整體安全到位，他們開始為管道設立自動化安全檢查點。他說：“如果系統沒有通過，工程師會關閉系統，說‘稍后我再處理’，但他們永遠不會處理。”通過自動化檢查點，你不給他們這樣的機會。他們使用Gauntlt，這個工具讓用戶可以專門針對安全編寫自動化測試。

圖2：惠譽的DevSecOps管道

Ail加入時，工程師們一直在部署擴展數據規模的解決方案，但是每個團隊獨立工作，因此部署了各種各樣的解決方案，工程師們給出了一大堆不同的選擇。一段時間后，工程師們為管道的每個部分選擇了滿足要求的***解決方案，并使其成為標準。

與PagerDuty自己的DevOps轉型相似，這個項目耗時大概三年。

DevSecOps的誤區

Ali表示，DevSecOps方面有幾個誤區需要揭穿。***個誤區是，如果你實現安全自動化，就放棄了控制。事實上，這讓貴公司更加合規。自動化提供了一致性和可追溯性。

下一個誤區是，只要添加安全工具即可打造DevSecOps。關鍵不是添加新工具，也不是增加更多的開發人員。他表示，DevSecOps不是一種能力，而是一種理念。“可以借助已有的開發人員輕松做這項工作。”讓安全成為他們工作的一部分，成為績效評估的一部分。

從哪兒開始?

仍然不知所措?答案是從小處入手。Ali先從電子郵件集成入手，慢慢地添加了工具，開始打破孤島，改變期望目標。電子郵件集成完成后，該公司開始使用PagerDuty的警報服務，這促使公司集成了Atlassian的Jira錯誤跟蹤系統，整條管道集中起來，擁有日志和智能監控功能。

三年后的今天，他們在故障發生之前就能發現隱患。

開發人員面臨的***挑戰

你要站在開發人員的角度來考慮。如果你告訴他們，你要自動化，要使用DevOps工具，現在說‘還要融入安全’，那么從他們的角度來看，突然之間有三份工作，而不是只有一份工作。

Ali說：“有鑒于此，我會討厭那樣的工作。”于是他加入公司，積極提供指導和支持。他告訴團隊，他們要提供培訓、工具和框架，并支持開發人員的工作。

看到大部分工作已完成，開發團隊意識到他們不得不充分利用自動化。現在，沒人簽入代碼，每個人都很自然地完成工作。部署不再是個問題。

他說：“仍然存在挑戰，但我們已經為他們開始采用DevSecOps開辟了一條道路。”

***提示

他說：“你要意識到你把數據放在哪里，弄清楚里面有什么數據，如何檢查數據，誰與數據交互以及數據如何受到保護。”

“除非你提出這些問題，否則你的應用程序和數據是不安全的。”

原文標題：100-Year-Old Fitch Ratings Upgrades to DevSecOps，作者：TC Currie

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】