RSA2019观察:DevSecOps实施中的文化整合与能力建设即:能力整合、持续学习、文化整合。其中,“融合”的概念也体现在今年RSACDevSecOps日的主题——“DevOpsConnect”中,通过CI/CD(持续集成/持续交付)和有效的度量来实现效率的提升。在本次大会上,文化融合与冲突成为演讲者关注的重点话题,如红队文化与开发人员的冲突,技术人员与非技术人员(包括HR等职能部门)的冲突,以及管理者与下属之间的冲突。管理冲突等以红队与开发者的冲突场景为例:红队习惯于制造“惊喜”(提出高危漏洞,但不提供解决方案),获取“秘密”(利用红队作为掩护获取私有数据),而这些都不容易被开发者和组织所接受。文化冲突的体现大量的从业者都意识到实施DevSecOps所带来的文化冲突,并试图解决这个问题。重要手段之一是文化转型。为此,LarryMaccherone在会上提出了Dev[Sec]Ops宣言:l构建安全,而不是仅仅依赖安全;l依靠授权的工程团队,而不仅仅是安全专家l实施安全功能,而不仅仅是安全功能l持续学习,而不是闭门造车l采用一些专用或常用的最佳实践,而不是“伪”综合措施l基于文化变革,而不是比单纯依靠规章制度、会议沟通等手段还需要重新设计组织,比如建立一个“麻花”式的开放组织,将安全人员整合到各个开发团队中,而不是建立一个封闭的部门。这样,具备安全能力的人员就可以深入到业务、开发、运维等各个领域,让DevSecOps真正创造价值,避免成为效率瓶颈。冲突解决过程还需要自动化和衡量。借用演讲者的一句话:“自动化所有简单的事情,专注于复杂的事情”。基于这个原则,提高“简单领域”的自动化和集成,关注业务领域的复杂问题(业务领域知识、组织、管控流程),企业可以逐步建立和实现业务领域的实施路线图和里程碑。DevSecOps领域。在这次会议上,您可以看到测量机制被实践DevSecOps的组织和演讲者广泛使用。衡量机制的好处是效率的提升可以量化,用数字来衡量,是减少矛盾的有效途径。关于DevSecops的实施路线和衡量理念,LarryMaccherone提出了9个实践要点和7个文化接受阶段。9个实践要点包括:l安全意识l安全编码l威胁建模l第三方导入代码分析l代码编写分析l团队合作协议l高危漏洞清理l同行评审l安全评估DevSecOps的9个关键实践通过9个关键实践分为7个阶段的衡量和打分,用不同的颜色直观展示组织对DecSecOps的实践和接受情况,让企业全景了解自身安全发展能力和发展状况,并提供持续和深入跟进Improvement创造良好的基础。从阻力到文化融合的七个阶段,绿盟科技安全服务团队经过多年在金融、企业、运营商等行业的实践,总结形成了基于DevSecOps提升组织安全开发能力的五个关键成功要素,即安全开发控制流程l安全开发知识库和工具l安全人员组织l衡量评价指标l持续优化围绕以上要素,绿盟科技安全服务团队设计了基于SDL和DevSecOps的安全开发能力提升服务方法论和整体框架。构建安全开发能力平台,辅助安全服务实施过程,通过基于服务能力的平台产品,实现对各种安全开发资源在实施过程中的整合和管控:l集成Jenkins、Gitlab等DevOps工具链l六种代码安全审计工具定制整理,3000多条规则;l专家级知识库n基于威胁建模的威胁库n900+项,针对应用安全、通信安全、系统部署运维安全、典型业务场景安全4大类安全需求库n涵盖82个场景,而拥有540个安全设计的安全设计库,可以借助安全开发能力平台,将安全开发的控制时间点最大程度左移,解决持续集成阶段的代码安全问题,并通过构建专家级知识库,降低组织对“Dev”、“Sec”、“Ops”人员的安全能力需求,绿盟科技丰富全行业项目经验的安全服务顾问全程进行现场辅导,协助企业完成跨部门的安全文化建设和流程突破h,最终实现安全开发工作的全闭环。关于DecSecOps社区DecSecOps社区组织的2019年RSACDevSecOps日的受欢迎程度超出了预期。与CSA社区的人气相比,人气明显下降。其推出的读物和海报下载,是了解DevSecOps技术和文化的重要窗口。会场的DevSecOps社区将负责“造轮子”的安全厂商与专注于实践经验分享的第三方分开,这也必然体现出DecSecOps社区的行业生态理念。相信在接下来的DevSecOps中,我们会看到像ShiftLeft这样的创新沙盒厂商异军突起。
