2020年RSA大會于2月24日至28日在舊金山召開。大會主題為“Human Element”。去年作為RSA大會DevSecOps日的轉折點，約有超過800名從業人員參加了為期一天的專題活動。今年，重點則放在從業者如何在組織內部調整并向DevSecOps轉型，詳細解析了組織所面臨阻礙其進步的問題類型，以及如何從公司的各個層面上獲得支持幫助等內容展開討論。

此前，嘶吼在分析參展廠商時發現有絕大多數企業聚焦DevSecOps這一話題，它作為一種為應用程序開發的生命周期引入安全性的設計考慮，最大程度地減少漏洞并使安全性更貼近IT實景和業務目標。就在當地時間2月24日結束的RSAC2020創新沙盒大賽上，十家初創公司中有半數企業聚焦應用安全，可以見得DevSecOps落地已成為大勢所趨。

筆者認為 DevSecOps的前提是軟件開發生命周期中的每個人都應對安全負責，也就是實質上將操作、開發與安全功能相結合。即安全性嵌入到開發流程中來，它并非將安全性最終固定于IT系統之中，而是通過在DevOps工作流程中嵌入安全控制流程進行安全管理的核心任務。

DevSecOps重要性體現在?

IT基礎架構的巨大變化：向動態配置、共享資源和云計算的轉變已推動了IT系統演進速度、敏捷性和成本收益等方面，這些都有助于改善應用程序的開發。

在云中部署應用程序的能力提高了規模和速度，向DevOps方法論的遷移和持續交付使得“大爆炸式”應用程序成為過去。尤其，DevOps一直以來將開發和IT運營集成在“單一自動化保護傘下”的原則對所有事情都有所幫助，從更頻繁的功能發布調整到增強的應用程序穩定性中來。但是，許多安全性和合規性監視工具無法跟上這種變化的步伐，因為它們并不是為開發代碼而開發的，它們無法以DevOps要求的速度進行測試。也就出現了以下觀點：安全性是快速開發應用程序以及IT創新性最大障礙。

而人們為了破除這一阻礙，令安全性和IT系統架構更加巧妙的結合，推出了DevSecOps的方法論，改進由安全性帶來的矛盾和阻礙。

DevSecOps的時代已然來臨

DevSecOps優勢：簡而言之，它能夠縮短實現更高標準的自動化時間長度，進而減少因決策失誤帶來的風險和一般情況下操作錯誤導致系統宕機或遭受不同程度攻擊等問題。當然，這種自動化還一定程度上減少了安全人員手動配置平臺的操作。

隨著企業從DevOps逐漸過渡到DevSecOps，我們發現安全性和開發人員領域的出現重疊。在RSAC2020大會上，不論從達美航空公司的“Delta的DevOps轉型”的演講，還是英特爾公司的“開發人員的安全策略和法規趨勢”的演講中，均發現許多會議更多面向的是組織內部如何處理DevSecOps轉型，他們面臨的困擾、問題，進一步提升并將安全性更好的納入開發流程的最佳實踐中來。

RSAC2020 創新沙盒上應用安全與DevSecOps公司概覽：

·BluBracket

關鍵詞：代碼安全

公司成立于2019年，BluBracket于上周宣布獲得650萬美元的投資。其主營代碼安全解決方案，第一款產品是BluBracket CodeInsight，它是一種審核工具，目前已發布使用，該工具使公司可以全面了解誰從Git庫中撤回了代碼;第二個工具BluBracket CodeSecure需到2020年下半年才能使用，它保護代碼安全性，囊括了按照分級對代碼分類的安全能力，最高級別的代碼將具有特殊地位，組織內部可以為其附加規則，如：未經允許不能將其分發到開源文件夾中等。

·ForAllSecure

關鍵詞：下一代代碼測試(模糊測試)解決方案

成立于2012年，2016年在DARPA網絡大挑戰賽中獲得第一名;2017年入選《麻省理工科技評論》的50家智慧公司;去年ForAllSecure在New Enterprise Associates的領導下籌集了1500萬美元的A輪融資。旗下技術平臺Mayhem的下一代模糊測試安全方案，旨在做到“自動識別和修復軟件中的安全漏洞”，對當前的威脅作出足夠迅速的反應，而模糊測試的本身就是降低測試門檻，有效為組織建立起信任。

ForAllSecure的首席執行官David Brumley博士稱“如果組織內安全人員不了解編碼基礎，要改進的不是令其成為開發人員，而是確保他們明悉軟件和計算機是如何深入工作的，進一步提高安全技能。”

·Sqreen

關鍵詞：RASP、WAF

Sqreen此前已經完成了1400萬美元的A輪融資，該公司旨在提高Web應用程序和云基礎架構的安全性。它的宗旨是不需要組織更改代碼或防火墻設置，通過在服務器上安裝一個軟件包，并添加幾行代碼以在應用程序中執行調用所需Sqreen模塊，更為輕量級的輸出安全服務。它的應用程序安全平臺可幫助組織保護應用程序，增加可見性，并通過查找關鍵威脅，修復漏洞將安全性集成到SDLC中來保護代碼。其提供了低成本、高水平的RASP+in App WAF解決方案，為實現快速部署、高可擴展性、降低延遲提供了促進作用。

·Tala Security

關鍵詞：WAF

現代化的Web體系結構極大地加快了網站和應用層攻擊的速度，例如Magecart、XSS、重定向攻擊和基于Web的惡意軟件等。Tala Security的主打產品WAF，通過基于AI引擎進行實時分析，解決攻擊目標為依賴JavaScript和第三方特權訪問等威脅，其平臺可抵御最廣泛的客戶端攻擊，并對組織系統的性能影響為零。

·Vulcan Cyber

關鍵詞：SOAR

Vulcan Cyber已于去年9月完成1000萬美元A輪融資，截止目前總計融資1400萬美元。該公司旨在通過自動化修補程序完成對于漏洞的修復操作。其平臺將優先級和部署流程自動化，以更快地修復更多漏洞，有效較低業務運營風險和成本。

Vulcan Cyber可以很好地與所有主要的云平臺以及Puppet、Chef和Ansible等工具和GitHub、Bitbucket等工具結合使用，還集成了眾多主要的安全測試工具和漏洞掃描程序，其中包括Black Duck、Nessus、Fortify、Tripwire、Checkmarx、Rapid7和Veracode。

總結

盡管CI / CD在不斷發展以滿足包括容器編排在內的越來越多的軟件開發需求，但應用程序中的許多默認設置都需要進行額外的強化以確保安全性。由此，將安全性集成到開發過程中成為必然趨勢。組織選擇使用更好的DevSecOps工具，確保從構建、部署、程序運行的整個生命安全周期中納入安全性。隨后，可以通過創建良好的DevSecOps文化氛圍，搭建位于安全團隊和運營團隊之間的橋梁，保障開發團隊在開發過程中也可以及時確認安全性，該步驟可以通過自動化檢測與響應推進。還需要注重的一點是，組織不僅應將DevSecOps納入IT架構規劃中，還應盡可能的從不同角度進行安全測試，以確保正在運行的組織平臺的安全性。