0x00 前言

SDL存在的問(wèn)題在于體量過(guò)于龐大，不利于快速進(jìn)行適配和進(jìn)行，所以就有了DevSecOps，實(shí)際上是因?yàn)槊艚蓍_(kāi)發(fā)也就是DevOps的推進(jìn)，并且坐上了云服務(wù)模式的火車(chē)，所以這一系列的東西都開(kāi)始普及。DevSecOps作為DevOps補(bǔ)充的一環(huán)，處于一個(gè)重要的內(nèi)嵌位置，徹底的落實(shí)安全的融合，以及自動(dòng)化完整的特性。基本上只要涉及到頻繁上線(xiàn)，多次編排的模式都可以采用DevSecOps融合的方式來(lái)維護(hù)更高的安全性。

因?yàn)楸疚氖腔谀壳拔易陨淼恼J(rèn)知所成，如有描述不妥，或者描述不完整的地方，還請(qǐng)指出斧正。

0x01 概述

下圖是DevSecOps的流程嵌入圖

整個(gè)體系內(nèi)容包括如下：

• 計(jì)劃
• 創(chuàng)建
• 驗(yàn)證
• 預(yù)發(fā)布
• 檢測(cè)
• 響應(yīng)
• 預(yù)測(cè)
• 適應(yīng)

0x02 計(jì)劃

• 安全建模
• 培訓(xùn)
• 確定流程

這一個(gè)階段其實(shí)可以看做是SDL的培訓(xùn)和要求，設(shè)計(jì)融合產(chǎn)物

0x03 創(chuàng)建

這里的創(chuàng)建實(shí)際上就是運(yùn)行時(shí)的環(huán)境檢查，包括開(kāi)發(fā)軟件環(huán)境，實(shí)施檢測(cè)，開(kāi)源第三方引用也可以放在這個(gè)階段來(lái)進(jìn)行。

0x04 驗(yàn)證

驗(yàn)證就是需要在流水線(xiàn)上進(jìn)行自動(dòng)化的驗(yàn)證，通過(guò)集成多種檢測(cè)工具，比如SonarQube，Depend-track，IAST，DAST動(dòng)態(tài)檢測(cè)，當(dāng)然fortify和codeQl都可以放在這一層進(jìn)行檢測(cè)。

0x05 預(yù)發(fā)布

• 混沌測(cè)試，完整內(nèi)容的整體測(cè)試，通過(guò)工具以及人工測(cè)試
• Fuzzing 測(cè)試
• 集成測(cè)試

0x06 持續(xù)檢測(cè)

持續(xù)監(jiān)控就是在快速構(gòu)建完整，并且運(yùn)行起來(lái)之后進(jìn)行的持續(xù)檢測(cè)內(nèi)容，主要采用的是

• RASP
• 網(wǎng)絡(luò)監(jiān)控

通常都是利用隨時(shí)檢測(cè)技術(shù)來(lái)進(jìn)行事實(shí)的監(jiān)控。

0x07 響應(yīng)

這里的響應(yīng)和SDL實(shí)際上是非常相似的過(guò)程，不過(guò)基于云的特性，不再有補(bǔ)丁流程，而是直接走構(gòu)建，測(cè)試，然后直接合并運(yùn)行的特點(diǎn)，少了補(bǔ)丁維護(hù)的問(wèn)題，但是需要更強(qiáng)大的漏洞管理流程

其次就是增加，威脅情報(bào)系統(tǒng)，安全自動(dòng)化工具，還有底層的防護(hù)工具。

0x08 預(yù)測(cè)

這里的預(yù)測(cè)的范圍非常廣包括，漏洞情報(bào)，威脅情報(bào)，提前預(yù)測(cè)管理等內(nèi)容

0x09 適應(yīng)

根據(jù)環(huán)境的變化修改應(yīng)急方案，修復(fù)方案，以及防護(hù)的方案。

0x10 總結(jié)

具體的實(shí)施還是需求根據(jù)環(huán)境的變化來(lái)進(jìn)行變化，從而進(jìn)行調(diào)整達(dá)到和企業(yè)的適配程度，從基層開(kāi)始提高安全程度。

補(bǔ)充知識(shí)

SDL介紹

SDL是Simple DirectMedia Layer（簡(jiǎn)單直接媒體層）的縮寫(xiě)，是一個(gè)跨平臺(tái)的多媒體庫(kù)，它提供了一個(gè)簡(jiǎn)單的API，允許開(kāi)發(fā)者輕松地使用音頻、視頻、輸入設(shè)備和圖形硬件等多媒體資源。SDL最初是為游戲開(kāi)發(fā)而設(shè)計(jì)的，但它的高效性和跨平臺(tái)特性使其也被廣泛應(yīng)用于其它領(lǐng)域，如圖像處理、模擬器等。SDL支持的平臺(tái)包括Windows、Linux、Mac OS X、iOS、Android等。SDL是Simple DirectMedia Layer（簡(jiǎn)單直接媒體層）的縮寫(xiě)，是一個(gè)跨平臺(tái)的多媒體庫(kù)，它提供了一個(gè)簡(jiǎn)單的API，允許開(kāi)發(fā)者輕松地使用音頻、視頻、輸入設(shè)備和圖形硬件等多媒體資源。SDL最初是為游戲開(kāi)發(fā)而設(shè)計(jì)的，但它的高效性和跨平臺(tái)特性使其也被廣泛應(yīng)用于其它領(lǐng)域，如圖像處理、模擬器等。SDL支持的平臺(tái)包括Windows、Linux、Mac OS X、iOS、Android等。

DevSecOps介紹

DevSecOps是一種軟件開(kāi)發(fā)流程的方法論，將安全性集成到DevOps流程中，以確保在代碼編寫(xiě)、構(gòu)建、部署和維護(hù)過(guò)程中的安全性。它強(qiáng)調(diào)了團(tuán)隊(duì)成員的跨職能性和協(xié)作，旨在創(chuàng)建安全的軟件系統(tǒng)。DevSecOps的目標(biāo)是使安全性成為軟件開(kāi)發(fā)和交付過(guò)程的一部分，而不是在系統(tǒng)部署后才考慮安全性，以減少安全漏洞和風(fēng)險(xiǎn)，保護(hù)客戶(hù)和企業(yè)數(shù)據(jù)。DevSecOps是一種軟件開(kāi)發(fā)流程的方法論，將安全性集成到DevOps流程中，以確保在代碼編寫(xiě)、構(gòu)建、部署和維護(hù)過(guò)程中的安全性。它強(qiáng)調(diào)了團(tuán)隊(duì)成員的跨職能性和協(xié)作，旨在創(chuàng)建安全的軟件系統(tǒng)。DevSecOps的目標(biāo)是使安全性成為軟件開(kāi)發(fā)和交付過(guò)程的一部分，而不是在系統(tǒng)部署后才考慮安全性，以減少安全漏洞和風(fēng)險(xiǎn)，保護(hù)客戶(hù)和企業(yè)數(shù)據(jù)。

SDL和DevSecOps的比較

SDL（Security Development Lifecycle）和DevSecOps都是與軟件開(kāi)發(fā)和安全有關(guān)的方法論，但它們有不同的重點(diǎn)和目標(biāo)。

SDL是一種按照安全最佳實(shí)踐整合到軟件開(kāi)發(fā)生命周期中的流程。它著重于在軟件開(kāi)發(fā)的早期階段就識(shí)別和處理潛在的安全問(wèn)題，以降低在后期開(kāi)發(fā)和維護(hù)中出現(xiàn)安全漏洞的風(fēng)險(xiǎn)。SDL包括多個(gè)階段，包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試和部署等，每個(gè)階段都有特定的活動(dòng)和文檔來(lái)確保軟件的安全性。

DevSecOps則是一種將安全性嵌入到整個(gè)軟件開(kāi)發(fā)流程中的方法。它強(qiáng)調(diào)通過(guò)自動(dòng)化和協(xié)作來(lái)促進(jìn)快速、持續(xù)和安全的軟件發(fā)布。DevSecOps的目標(biāo)是打破安全和開(kāi)發(fā)之間的壁壘，使安全團(tuán)隊(duì)可以快速響應(yīng)開(kāi)發(fā)團(tuán)隊(duì)的需求，并將安全性納入到自動(dòng)化的構(gòu)建、測(cè)試和部署流程中。

總的來(lái)說(shuō)，SDL注重整個(gè)軟件開(kāi)發(fā)生命周期中的安全性，而DevSecOps則更加注重集成安全性到整個(gè)軟件開(kāi)發(fā)流程中。兩種方法都是很有用的，具體的應(yīng)用需要根據(jù)具體項(xiàng)目的需求和情況來(lái)決定。SDL（Security Development Lifecycle）和DevSecOps都是與軟件開(kāi)發(fā)和安全有關(guān)的方法論，但它們有不同的重點(diǎn)和目標(biāo)。

SDL是一種按照安全最佳實(shí)踐整合到軟件開(kāi)發(fā)生命周期中的流程。它著重于在軟件開(kāi)發(fā)的早期階段就識(shí)別和處理潛在的安全問(wèn)題，以降低在后期開(kāi)發(fā)和維護(hù)中出現(xiàn)安全漏洞的風(fēng)險(xiǎn)。SDL包括多個(gè)階段，包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試和部署等，每個(gè)階段都有特定的活動(dòng)和文檔來(lái)確保軟件的安全性。

DevSecOps則是一種將安全性嵌入到整個(gè)軟件開(kāi)發(fā)流程中的方法。它強(qiáng)調(diào)通過(guò)自動(dòng)化和協(xié)作來(lái)促進(jìn)快速、持續(xù)和安全的軟件發(fā)布。DevSecOps的目標(biāo)是打破安全和開(kāi)發(fā)之間的壁壘，使安全團(tuán)隊(duì)可以快速響應(yīng)開(kāi)發(fā)團(tuán)隊(duì)的需求，并將安全性納入到自動(dòng)化的構(gòu)建、測(cè)試和部署流程中。

總的來(lái)說(shuō)，SDL注重整個(gè)軟件開(kāi)發(fā)生命周期中的安全性，而DevSecOps則更加注重集成安全性到整個(gè)軟件開(kāi)發(fā)流程中。兩種方法都是很有用的，具體的應(yīng)用需要根據(jù)具體項(xiàng)目的需求和情況來(lái)決定。