采用云优先战略的企业正在以惊人的速度发展。较大的企业可能每天有数千次部署,同期有数十万次代码更改。除此之外,以技术为中心的企业可能会雇用数百名开发人员:在这种情况下,跟踪和理解每个项目或准确跟踪他们在做什么变得极其困难。这样的速度和数量意味着早期设计的安全程序(安全团队在部署前审查和测试代码)不再实用。在成功采用DevOps之后,我们现在进入了DevSecOps时代,在这个时代,安全团队将重点转移到使开发人员能够更安全地构建代码,并让开发人员在安全配置的云计算环境中构建安全的基础。代码负责。如果这听起来像是很多额外的工作,那么在典型的云计算应用程序中只有大约20%的代码是其应用程序所独有的,这一事实使情况变得更加复杂。其余部分还包括Linux操作系统文件、开源库、它们的依赖项和其他继承元素。开发人员需要更多帮助来识别应用程序、更广泛的代码库和配置中的潜在漏洞。需要自动化技术来使用高度复杂的安全工具集。工作中的安全自动化自动化可以采取多种形式,进入这个领域的第一步将取决于业务的实际情况及其主要痛点。第一步是确保应用程序及其组件按设定的时间间隔自动扫描漏洞。正如美国一家云计算通信平台即服务公司的高级安全工程师所说:“自动化是确保大规模安全的关键,因为它消除了人为错误。当我们实现自动化时,我们会发现更多漏洞”要记住的是,即使在正常情况下进行扫描也会为训练有素的团队带来潜在的漏洞,如果它已经自动化,那么它就是多余的工作。云通信公司的团队将这种自动化更进一步。他们开发了一个GitHub应用程序,该应用程序利用该工具的API来监控公司应用程序主要分支的更改和拉取请求。合并拉取请求时,它会自动导入项目进行扫描。当项目被创建、删除或重命名时,它也会做出反应,触发适当的安全措施。该公司现已开源该工具,让其他人可以从其创新中受益。一家在线旅行社担心其系统存在安全漏洞。公司正经历着上述规模化、快速发展的局面,需要采用自动化技术。该公司的一位软件工程师指出:“在我们的运营规模下,代码和配置的人工审查是一场噩梦。”公司决定构建自己的仪表板应用程序,以便开发人员和管理人员可以通过API调用收集数据。信息,为开发人员和管理人员提供跨项目安全所需的可见性。流水线过程中需要帮助促使一家美国媒体公司创建了自己的内部应用程序,该应用程序通过Cloudtrail检测新的容器图像,扫描它们是否存在漏洞,并使用其安全工具的API获取结果并处理这些信息,一个Jira票是为相关团队和开发人员创建的。该公司平台工程总监表示,该业务可以处理数千个容器镜像和多达7,000个代码存储库。只有将尽可能多的工作流程自动化,您才能确信不断识别和减轻风险。持续自动化随着企业不断实现自动化,必须考虑多个因素才能获得最佳结果。首先,这可能会影响安全工具的整体选择,希望自动化工具更具适应性。在做出决策时,强大且文档齐全的API的可用性似乎并不总是优先考虑的,而是创建完全满足企业需求的安全自动化工具。对于其他企业(通常是较小的企业),所选编程语言固有的SDK的可用性将是绝对必要的。随着媒体公司开发自己的内部应用程序,公司平台工程总监强调的第二个关键点是仔细考虑自动化的后果。如果单次扫描可以检测到数以千计的漏洞,那么仅仅打开一张请求解决所有漏洞的票可能会很快阻塞低级作业的日志并使开发团队感到沮丧。相反,系统会过滤掉无法修复或无法利用的漏洞,并根据任务对应用程序安全的影响来确定任务的优先级。该系统还使开发人员更容易处理票证,提供有关补丁可用性的建议以及描述漏洞性质的文档链接。关于自动化项目的最后一点是确保始终记住目标是使工作尽可能简单。创建新流程、新工具或跳跃方法可能是必要的步骤。在可能的情况下,尝试使用开发人员每天使用的工具,无论是通过IDE、存储库还是票务系统。当自动化在不增加问题的情况下实现安全时,这就是企业应该努力争取的理想组合。
