最近,DevOps的采用导致了企业计算的重大转变。除了无服务器计算、动态配置和即用即付成本模型等功能外,DevOps的实践非常适合可以释放一些增值优势的组织,例如提高敏捷性、速度和降低成本。尽管DevOps很受欢迎,但在需要安全交付代码的情况下,DevOps还是必不可少的。这导致了一种促进信息安全和DevOps共存的新开发方法,通常称为DevSecOps。DevSecOps的需求通过DevOps协调开发和运营团队,这使得在更快的时间框架内开发自定义软件和业务应用程序成为可能。然而,在大多数情况下,安全性在DevOps实施中并没有被优先考虑,并且经常被视为快速开发的障碍。虽然组织越来越关注打破开发、测试和运营团队之间的传统孤岛,但许多组织尚未将安全性集成到他们的开发过程中,使他们容易受到漏洞的攻击。这就是DevSecOps服务的用武之地。DevSecOps方法包括将安全性作为DevOps实践的重要组成部分。通过持续监控、评估和分析,DevSecOps确保在开发过程的早期发现任何漏洞和弱点并立即修复。DevOps和DevSecOps的区别DevOps是指开发、测试和运营团队之间的协作环境,以实现持续交付,而DevSecOps涉及将安全组件集成到DevOps过程中DevSecOps侧重于解决DevOps自动化安全问题,例如配置管理、组件分析等等DevSecOps究竟是什么?DevOps通常被理解为促进软件工程和基础架构团队之间持续协作的流程和工具的组合。反过来,这些功能可以自动在整个组织内快速可靠地交付应用程序和服务。DevOps包括几个重点领域,包括自动化配置、持续集成、持续监控和测试驱动开发。DevSecOps是DevOps思维方式的延伸,将安全控制和流程嵌入到DevOps工作流中,并自动执行核心安全任务。这些安全原则在开发过程的早期引入,并在整个开发生命周期中实施。DevSecOps除了为DevOps团队提供安全知识和实践,还将应用开发知识和流程融入安全团队,实现团队间的高效协作。在IT世界中,对术语DevSecOps的使用没有达成共识,有时将其称为DevOpsSec、SecDevOps或RuggedDevOps。DevSecOps方法的关键组成部分组织需要在其开发DevSecOps的方法中纳入文化和技术转变,以更有效地应对实时安全威胁。实用的DevSecOps方法需要考虑六个主要组成部分。其中包括:代码分析以小块代码交付,可以快速识别漏洞。变更管理这样,用户不仅可以高速高效地提交变更,还可以判断变更的影响是正面的还是负面的。监控合规性组织应遵守通用数据保护条例(GDPR)和支付卡行业数字安全标准(PCIDSS)等法规,并准备好接受监管机构的审计。调查威胁每次代码更新都伴随着潜在的新兴威胁。及早识别这些威胁并立即做出响应至关重要。漏洞评估涉及对新漏洞的分析和对它们的响应。培训组织需要让他们的软件IT工程师参与与安全相关的培训,并为他们提供定义例程的指南。使用DevSecOps策略从DevOps迁移到DevSecOps并非易事,但可以通过适当规划的阶段成功实现。在采用DevSecOps时,组织需要考虑三个关键步骤:评估当前的安全措施安全团队执行威胁建模并进行风险评估,以帮助他们分析组织资产的敏感度及其潜在威胁。此外,他们可以了解当前的安全控制并确定需要修改的优先级。将安全性集成到DevOps将安全措施集成到开发过程中涉及检查开发工作流程并确保安全实践和自动化相结合,以便将中断降至最低。将DevSecOps与安全运营集成只有开发、安全和运营团队承诺在整个DevOps工作流程中调整和嵌入安全流程和控制,才能认为DevSecOps实施成功。在开发过程中持续监控任何安全问题并确保快速响应对于将安全操作与DevSecOps方法集成至关重要。重要的DevSecOps工具DevSecOps的采用涉及评估应用程序安全风险和代码测试,专业工具必不可少。在集成开发环境(IDE)中使用自动化测试工具使开发人员能够将安全性纳入DevOps工作流程,而不必每次都启动新环境来测试代码。已经开发了各种工具来促进DevSecOps实施的各个方面。其中包括:可视化工具Kibana和Grafana等工具可帮助识别、发展安全信息并与运营部门共享安全信息。自动化工具StackStorm等工具可以在发现安全漏洞时帮助提供脚本修复。搜寻工具这些工具有助于检测安全异常。一些示例包括Mirador、OSSEC、MozDef和GRR等。测试工具测试是DevSecOps的关键要素,为此目的使用了多种工具,例如GauntIt、Spyk、ChefInspec、Hakiri、Infer和Lynis。警报工具Elastalert、Alerta和411等工具在发现需要修复的安全漏洞时提供警报和通知。威胁情报工具这些工具捕获和组织威胁情报,包括OpenTPX、关键堆栈和被动总数。攻击建模工具帮助实现攻击建模和安全防御。DevSecOps是如何实现的?DevSecOps通过合并代码级别的安全性,将它们组合到一个简化的流程中,从而在流程链的所有级别保护应用程序和流程。DevSecOps成功实施的五个特征:每个阶段的强制安全性在安全之前进行全面评估在代码级别进行与安全相关的更改自动化所有可能的流程通过警报和仪表板持续监控DevSecOps的商业利益从DevOps过渡到DevSecOps方法,组织可以改变他们处理开发管道的方式。加强开发、安全和运营团队之间的协作可以确保在早期检测到漏洞并将安全威胁降至最低。DevSecOps为企业提供了其他几个优势:提高安全团队的敏捷性和速度,增强团队之间的沟通和协作,以及识别代码漏洞。除了为质量保证测试和自动化构建提供机会外,DevSecOps还使组织能够快速响应变化。采用DevSecOps还可以带来其他一些好处,包括:自动代码保护DevSecOps通过自动执行测试降低因人为错误引入安全漏洞的风险,并实现更好的覆盖率、一致性和可预测的流程。此外,在开发过程中,一旦发现任何问题,就可以对其进行跟踪和修复。持续的安全支持使用自动化工具,组织可以创建用于测试和报告的闭环流程,确保立即解决所有安全问题。利用安全资源DevOps可以自动化大多数需要较少动手时间的标准安全流程和任务,例如事件监控、帐户管理、代码安全和漏洞评估。这使安全专业人员可以专注于威胁补救和消除战略风险。
