多因素催生DevSecOps

時間：2022-04-12 03:00:01 | 來源：行業(yè)動態(tài)

時間：2022-04-12 03:00:01 來源：行業(yè)動態(tài)

DevSecOps的出現(xiàn)是與整個安全環(huán)境的變化息息相關(guān)的。ThoughtWorks首席安全咨詢師蔣帆告訴記者，企業(yè)過去更多是關(guān)注網(wǎng)絡(luò)安全或者信息安全，但是隨著企業(yè)數(shù)字化產(chǎn)品系統(tǒng)的增多，雖然傳統(tǒng)的安全設(shè)備和產(chǎn)品可以保護企業(yè)的IT基礎(chǔ)設(shè)施，但是對數(shù)字化平臺系統(tǒng)自身的安全風(fēng)險卻無能為力。

企業(yè)數(shù)字化全面提速，業(yè)務(wù)系統(tǒng)成為重要載體，這就涉及安全合規(guī)問題。國家層面也在通過相關(guān)立法確保安全風(fēng)險的可控，作為企業(yè)自身更是需要盡到責(zé)任主體的義務(wù)。

蔣帆表示，從業(yè)務(wù)人員角度看，企業(yè)是不允許在沒有完善的安全保護措施下將業(yè)務(wù)進行數(shù)字化。先把數(shù)字化系統(tǒng)建設(shè)起來，再補充安全能力，這在傳統(tǒng)行業(yè)客戶的業(yè)務(wù)場景中是行不通的。

安全不像質(zhì)量問題，質(zhì)量問題更多是功能層面，而如果在安全設(shè)計上面存在瑕疵，一旦被攻擊者利用，就會成為安全漏洞，進而影響企業(yè)的業(yè)務(wù)運行。這就需要企業(yè)構(gòu)建一個響應(yīng)力，不斷追蹤產(chǎn)品上線之后的安全風(fēng)險問題。

而且現(xiàn)在的安全攻擊和傳統(tǒng)的威脅是截然不同的，進攻思路更加豐富，體系更加復(fù)雜，活動難以察覺，潛伏和破壞并存的結(jié)構(gòu)，從戰(zhàn)術(shù)體系到具體的軟件工具一系列綜合的進攻方式，呈現(xiàn)出了專業(yè)化、組織化的特點。



蔣帆說，雖然企業(yè)能夠為尋找相應(yīng)的安全工具應(yīng)對安全挑戰(zhàn)，但是如何有效利用起來才是關(guān)鍵。企業(yè)的軟件開發(fā)團隊如果無法快速響應(yīng)漏洞風(fēng)險，再多的工具都是沒有意義的。

于是我們看到DevSecOps的工作實踐與方法論得到快速發(fā)展和廣泛接納，不過在具體的落地過程中，雖然DevSecOps的提出就是將安全實踐融入到軟件的各個生命周期，但目前的DevSecOps的工作仍然存在著太多的割裂，很多情況下是安全的觸角伸到了軟件各個生命周期上，但是并非融入，并形成完善流暢的體系流程。

這表現(xiàn)在DevSecOps只是局限于工具的單純應(yīng)用，而不是以一種更加系統(tǒng)的方式來推行相關(guān)工作。如何有機將這些工具和具體實踐以及數(shù)字化軟件本身結(jié)合將成為接下來DevSecOps落地的問題。畢竟軟件本身就需要有內(nèi)建的安全能力，而不是單純靠軟件的交付流程或是某個獨立的安全崗位部門來實現(xiàn)。