DevSecOps是DevOps實(shí)踐的自然演進(jìn)，其重點(diǎn)是將安全集成到軟件開發(fā)和部署流程中。在DevOps和DevSecOps發(fā)展之前，企業(yè)通常在在軟件部署前進(jìn)行集中的安全測試，導(dǎo)致安全介入嚴(yán)重滯后，漏洞分風(fēng)險(xiǎn)無法及時(shí)修復(fù)，影響上線交付。在進(jìn)行安全檢查時(shí)，其他階段的大部分工作已經(jīng)完成，產(chǎn)品也接近完成。因此，在較晚的階段發(fā)現(xiàn)安全威脅后，程序員需要重寫無數(shù)行代碼，這是一項(xiàng)痛苦且耗時(shí)費(fèi)力的任務(wù)。

Devops到Devsecops的轉(zhuǎn)變

為了在開發(fā)過程中解決安全問題，DevSecOps在DevOps的基礎(chǔ)上逐漸發(fā)展起來，將DevOps想象成超級(jí)英雄團(tuán)隊(duì)中充滿活力的二人組，開發(fā)人員和運(yùn)營人員可以聯(lián)手迅速推出軟件并保證更新迭代。隨后，DevSecOps出現(xiàn)了，他們有了一個(gè)新伙伴：安全（Security），在兼顧開發(fā)效率的同時(shí)，保障軟件的安全性。DevSecOps 一詞代表了開發(fā)（Dev）、安全（Sec）和運(yùn)營（Ops）實(shí)踐的融合，強(qiáng)調(diào)了安全在整個(gè)軟件開發(fā)生命周期中的重要性。

Devsecops的核心概念

DevSecOps的核心概念是將安全性視為軟件開發(fā)和運(yùn)營不可或缺的組成部分，而非傳統(tǒng)的后期添加或檢查。DevSecOps強(qiáng)調(diào)在整個(gè)軟件開發(fā)生命周期中，從需求分析到設(shè)計(jì)、編碼、測試、部署，直至運(yùn)營，都要持續(xù)考慮和實(shí)施安全措施。這種方法打破了傳統(tǒng)軟件開發(fā)中安全與速度之間的權(quán)衡，讓安全和敏捷開發(fā)并存。

DevSecOps的流程

設(shè)計(jì)階段：在設(shè)計(jì)階段就開始考慮安全風(fēng)險(xiǎn)，并編寫安全代碼，要求架構(gòu)師和開發(fā)人員具備安全設(shè)計(jì)能力，并確保在設(shè)計(jì)時(shí)將安全性作為核心要素。

研發(fā)階段：實(shí)施安全編碼標(biāo)準(zhǔn)，并通過自動(dòng)化測試確保代碼質(zhì)量。開發(fā)人員需遵守安全編碼規(guī)范，利用自動(dòng)化工具進(jìn)行代碼審查和測試，預(yù)防安全漏洞。

代碼管理階段：通過版本控制系統(tǒng)跟蹤代碼更改，并定期進(jìn)行代碼審計(jì)，有助于及時(shí)發(fā)現(xiàn)并修復(fù)潛在安全問題，確保代碼的完整性和安全性。

構(gòu)建與測試階段：實(shí)施自動(dòng)構(gòu)建和自動(dòng)化測試，以確保交付安全和高質(zhì)量的軟件。自動(dòng)化測試能夠檢測代碼中的安全漏洞，而構(gòu)建過程的自動(dòng)化則保證了代碼的正確性。

部署階段：配置自動(dòng)化部署流程，以確保軟件環(huán)境的穩(wěn)定和安全，包括在部署前進(jìn)行全面安全檢查，以及確保部署過程中的配置變更得到嚴(yán)格控制。

DevSecOps中的關(guān)鍵指標(biāo)和度量

指標(biāo)和度量在評(píng)估安全實(shí)踐的有效性方面起著至關(guān)重要的作用。

漏洞修復(fù)時(shí)間：修復(fù)漏洞的時(shí)間是衡量已識(shí)別漏洞是否能得到快速解決的指標(biāo)，較短的修復(fù)時(shí)間表示DevSecOps過程更加高效和及時(shí)。

檢測和響應(yīng)事件的平均時(shí)間：該指標(biāo)是指跟蹤識(shí)別和響應(yīng)安全事件所花費(fèi)的平均時(shí)間。較低的平均時(shí)間表示更快的事件響應(yīng)速度，減小了安全事件的潛在影響。

合規(guī)水平：該指標(biāo)可以評(píng)估組織對(duì)安全標(biāo)準(zhǔn)和法規(guī)要求的遵守程度，主要衡量合規(guī)違規(guī)率、審計(jì)成功率和是否能及時(shí)解決合規(guī)問題等因素。

安全測試覆蓋率：該指標(biāo)是評(píng)估安全測試在整個(gè)開發(fā)生命周期中所占比例的指標(biāo)，可以衡量測試的代碼覆蓋率中針對(duì)安全漏洞的測試百分比，以及所應(yīng)用的安全測試技術(shù)的全面性。

跟蹤安全事件的數(shù)量：可以提供有關(guān)安全控制和整體安全狀況的見解。通過監(jiān)控安全事件的趨勢，組織可以識(shí)別改進(jìn)的領(lǐng)域，并實(shí)施有針對(duì)性的安全措施。

DevSecOps的優(yōu)勢

DevSecOps的兩個(gè)主要優(yōu)勢是速度和安全性，讓開發(fā)團(tuán)隊(duì)更快地交付更安全的代碼，成本也因此更低。

快速、低成本地交付軟件：DevSecOps的快速安全交付可節(jié)省時(shí)間并減少成本，最大程度降低在事后重復(fù)執(zhí)行流程以解決安全問題的可能。集成安全性消除了重復(fù)評(píng)審和不必要的重新構(gòu)建，產(chǎn)生了更安全的代碼，成本效益更高。

主動(dòng)改進(jìn)安全性：DevSecOps從開發(fā)周期開始就引入安全流程，在整個(gè)開發(fā)周期中，對(duì)代碼進(jìn)行評(píng)審、審計(jì)、掃描和測試，以發(fā)現(xiàn)安全問題。一旦發(fā)現(xiàn)問題，就會(huì)立即處理，有助于縮短修補(bǔ)漏洞的時(shí)間，并使安全團(tuán)隊(duì)能夠?qū)Ｗ⒂诟邇r(jià)值的工作。

與現(xiàn)代開發(fā)相適應(yīng)的自動(dòng)化：持續(xù)集成/持續(xù)交付管道交付軟件，可將網(wǎng)絡(luò)安全測試集成到運(yùn)營團(tuán)隊(duì)的自動(dòng)化測試套件中。自動(dòng)化測試可確保整合的軟件依賴關(guān)系處于適當(dāng)?shù)难a(bǔ)丁級(jí)別，并確認(rèn)軟件通過安全單元測試。此外，在最終更新升級(jí)到生產(chǎn)環(huán)境之前，可以使用靜態(tài)和動(dòng)態(tài)分析來測試和保護(hù)代碼。

DevSecOps的價(jià)值—助力企業(yè)實(shí)現(xiàn)安全左移

安全左移是DevSecOps中的一個(gè)重要理念，強(qiáng)調(diào)在軟件開發(fā)過程中盡早考慮和實(shí)施安全措施。

在設(shè)計(jì)階段引入安全性考慮：從項(xiàng)目開始階段就融入安全性設(shè)計(jì)，確保軟件架構(gòu)和代碼實(shí)現(xiàn)都符合安全標(biāo)準(zhǔn)。

使用自動(dòng)化工具進(jìn)行安全檢查：在開發(fā)過程中，利用自動(dòng)化工具進(jìn)行持續(xù)安全檢查，及時(shí)發(fā)現(xiàn)并修復(fù)安全漏洞。

跨部門協(xié)同工作：打破部門壁壘，實(shí)現(xiàn)開發(fā)、安全和運(yùn)維團(tuán)隊(duì)三者之間的緊密協(xié)作，共同確保軟件安全性。

持續(xù)的安全培訓(xùn)和教育：通過定期的安全培訓(xùn)和教育活動(dòng)，提高整個(gè)團(tuán)隊(duì)的安全意識(shí)和技能水平。

DevSecOps通過整合安全性到軟件開發(fā)的每一個(gè)環(huán)節(jié)，實(shí)現(xiàn)了安全左移。近年開源網(wǎng)安也適時(shí)打造了DevSecOps解決方案，幫助企業(yè)構(gòu)建新一代安全、高效、合規(guī)的全生命周期應(yīng)用安全運(yùn)營體系，可查看往期內(nèi)容《干貨分享 | DevSecOps解決方案—助力企業(yè)提升安全開發(fā)效能》進(jìn)行深入了解。DevSecOps不僅是一種技術(shù)革新，更是一種思維方式的轉(zhuǎn)變，它將安全融入軟件開發(fā)的每一個(gè)環(huán)節(jié)，確保了軟件在快速迭代的同時(shí)，也能保持高水平的安全性。隨著數(shù)字化進(jìn)程加速，DevSecOps將在未來軟件開發(fā)領(lǐng)域發(fā)揮越來越重要的作用，引領(lǐng)軟件開發(fā)安全的發(fā)展。

推薦閱讀

DevSecOps示范 | 世界500強(qiáng)企業(yè)如何建設(shè)軟件開發(fā)安全體系

DevSecOps實(shí)踐：如何在研發(fā)過程中做好供應(yīng)鏈安全