DevSecOps最佳實踐

時間：2022-03-06 17:52:01 | 來源：行業(yè)動態(tài)

時間：2022-03-06 17:52:01 來源：行業(yè)動態(tài)

在DevSecOps的規(guī)劃與實施過程中，這幾方面因素發(fā)揮著重要作用：

首先，安全編碼實踐。安全編碼的重要意義，在于開發(fā)出對安全漏洞具有較高抵御能力的軟件。而非安全的編碼實踐可能引發(fā)多種軟件安全風(fēng)險，例如泄露企業(yè)組織內(nèi)的機(jī)密信息。因此，最重要的是保證開發(fā)人員擁有充分的技能儲備，并積極在時間與成本投入方面給予支持。此外，企業(yè)還應(yīng)建立并遵循編碼標(biāo)準(zhǔn)，幫助開發(fā)人員們編寫出更多高質(zhì)量代碼。

第二，擁抱自動化。與DevOps一樣，自動化在DevSecOps中同樣至關(guān)重要。為了在CI/CD環(huán)境中讓安全保障速度與代碼交付速度相匹配，安全也必須邁向自動化新時代。沒有這一前提，大型企業(yè)組織根本無法有效保護(hù)開發(fā)者每天提交的大量代碼版本。

對于自動化安全測試，我們必須做出萬全的考慮。出于錯誤目的而選擇了錯誤的自動化工具，反而可能帶來巨大的危害。靜態(tài)應(yīng)用程序安全測試（SAST）工具目前被廣泛應(yīng)用于開發(fā)周期早期的持續(xù)檢測與問題識別方案。只有匹配實際需求選擇合適的安全自動化工具，產(chǎn)品的順利交付才能真正得到有效保障。

第三，左移方法。左移測試方法的核心，是在周期之初就將安全性融入應(yīng)用程序之內(nèi)，而不再等待交付鏈最后階段的到來。這種方式的主要優(yōu)勢在于加快潛在漏洞的識別速度并即刻加以解決。這種方法本身雖然好處多多，但也會帶來不少隱患。左移方法的一大常見挑戰(zhàn)，就是會暫時中斷現(xiàn)有DevOps工作流程。這確實是個問題，但如果企業(yè)決意采用DevSecOps，那么左稱方法從長遠(yuǎn)來看仍是一項不可或缺的最佳實踐。

第四，人員、流程與技術(shù)。在DevSecOps的成功實施方面，人員、流程與技術(shù)可謂三位一體，缺一而不可。哪怕其他條件再完備，如果員工對文化革新不感興趣，那么成熟有效的DevSecOps環(huán)境根本無從談起。雖然說服高層管理團(tuán)隊接納這樣的重大轉(zhuǎn)變可能困難重重，但因安全態(tài)勢惡劣而頻繁引發(fā)的重大數(shù)據(jù)泄露事件應(yīng)該引起大家的高度重視。所以除了安全專家的引導(dǎo)之外，盡可能發(fā)展安全擁護(hù)者對于DevSecOps的良好運作同樣至關(guān)重要。

任何流程都由多個環(huán)節(jié)組成，其中最重要的當(dāng)然是工作流標(biāo)準(zhǔn)化與文檔化。一般來說，企業(yè)組織內(nèi)的各個團(tuán)隊需要執(zhí)行不同的流程，而DevSecOps則需要團(tuán)隊共同商定統(tǒng)一流程、并通過協(xié)同執(zhí)行加強(qiáng)開發(fā)周期中的安全水平。同時，技術(shù)能夠幫助人們高效執(zhí)行DevSecOps流程，其具體實踐中涉及的常見技術(shù)包括自動化與配置管理、安全即代碼、自動合規(guī)性掃描以及主機(jī)強(qiáng)化等等。