DevSecOps：安全运营不可或缺的实践（一）

一、DevSecOps诞生的背景

 互联网上的安全问题日趋严重，例如2017年11月22日，Uber承认2016年被黑客窃取司机及用户数据；信息技术快速发展，随着软件产品的开发，生命周期越往后，由安全问题引发的修复成本成倍数增长。

二、DevSecOps的基础概念

DevSecOps首次被提出在2017年RSA大会，并历经多年发展：

2017RSA：明确DevSecOps实践主体内容，提出左移安全前置的思想；

2018RSA：首提“Golden Pipeline”概念，强调自动化工具链支撑；

2019RSA：聚焦文化融合与实践效果度量；

2020RSA：聚焦组织内部DevSecOps转型，强调人的因素；

2021RSA：认为软件质量是DevSecOps成功的必要条件，将其由原来的创造价值和可用推向创造信任和便捷发展；

2022RSA：强调DevSecOps是一种理念和文化，不是单纯的某种技术或产品。

DevSecOps可以被理解为在DevOps上嵌入了安全Security，在DevSecOps网站上的解释：更加安全和快速的开发交付软件。

三、DevSecOps宣言：

四、DevSecOps实际落地三大困难：

     对传统开发模式和安全运营模式来说，DevSecOps是一种颠覆式的模式变革，其实践的推动需要CIO从战略高度去推动实施，同时在文化与观念上实现DevSecOps:观念上要改变,不能只有安全相关人对安全负责，必须能让开发团队、运维团队和安全团队认识到每个人都应该对安全负责；

     DevSecOps达到初始目标需要实现快速迭代，在开发和运营的过程上，需要高度自动化，开发运维和安全工作的工具和流程需要无缝对接，这对大多数企业来说是一个艰巨的挑战；

     DevSecOps的实践需要开发人员、运维人员和安全人员通力合作，能够站在对方视角客观看待问题。具体到开发人员而言，不仅仅需要开发技能还要对运维及安全有所了解。对运维人员和开发人员也是一样需要各自扩充不同领域的技能和知识。

五、DevSecOps开发流程体系

除去文化和技能软实力方面的原因，从流程工具层面实现怎样DevSecOps？

在2018年RSA大会上，首次提出了Golden Pipeline的概念，这一概念基于安全工作前移、安全工作和现有工作的无缝对接这两个方面提出的。Golden Pipeline特指一套通过稳定的可落地的安全的方式，自动化地进行应用CI/CD的流水线体系。其中工具链自动化的支撑程度是缩短调度成本、实现快速迭代的关键，为DevSecOps提供了一种便于理解和落地的实现方式，从Golden Pipeline开发流程体系来看，DevSecOps开发安全主要包括Golden-Gate安全门（门禁）、AST应用安全测试、SCA第三方组件成本分析、RASP运行时应用自保护4大关键安全活动。

Golden-Gate安全门（门禁）：指有两位以上经验丰富的工程师进行代码评审，通过后代码才可以通过Golden Gate进入真正的Golden Pipeline；

 AST应用安全测试：即Application Security Tseting，包括了传统SAST白盒静态应用安全测试、黑盒DST动态应用安全测试以及新一代IAST交互式应用安全测试技术；

SCA第三方组件成本分析：主要针对开源软件以及第三方的软件涉及的源码、模块、框架和库等的安全漏洞分析；

RASP运行时应用自保护：即Runtime Application Self Protection，它将保护程序像疫苗一样注入到应用程序中，与应用程序融为一体，实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害就可以自动对其进行防御；

五、DevSecOps最佳实践

Gartner分析师经过600多次调查总结并给出了10项最佳实践：

1. 安全测试工具和过程能够很好地适应开发人员，而不是背道而驰；
2. 不要试图在开发过程中消除所有漏洞；
3. 首要任务是识别并移除已知的严重漏洞；
4. 不要固守传统的静态动态分析方法，应当适应新的变化；
5. 培训所有开发人员基本的安全编码知识，但不要期望他们成为安全专家；
6. 采用安全捍卫者模型，并实现简单地安全需求收集工具；
7. 进入源代码中已知的易受攻击的组件；
8. 使用自动化脚本确保并进行操作的规范化；
9. 使用强大的版本控制措施管理所有代码和组件；
10. 默认的基础架构应当是不可变的

六、DevSecOps工具

另外，在工具方面基于DevSecOps是将安全嵌入到带office的流程阶段中，所以一般来说，DevSecOps的工具主要是基于编码、构建、测试、配置、部署、监控这6个阶段嵌入的。