DevSecOps破局,縱深一體化安全研運(yùn)讓價(jià)值高效流動(dòng)
【前言】
繼IT組織紛紛轉(zhuǎn)向敏捷研發(fā)與DevOps模式,如何在快速交付的同時(shí),保障安全交付成為業(yè)內(nèi)廣泛關(guān)注的焦點(diǎn)。DevSecOps應(yīng)運(yùn)而生。
那么,傳統(tǒng)敏捷研發(fā)模式究竟存在什么弊端?DevOps遺留了哪些問(wèn)題?DevSecOps有何特點(diǎn)?行業(yè)的實(shí)踐情況如何?IT團(tuán)隊(duì)選型時(shí)應(yīng)該如何考慮?
本文將對(duì)以上問(wèn)題進(jìn)行解析,并以部分實(shí)例加以說(shuō)明。
一、傳統(tǒng)敏捷研發(fā)的弊端
隨著云計(jì)算、微服務(wù)和容器技術(shù)的快速普及,許多企業(yè)及IT團(tuán)隊(duì)的交付模式迎來(lái)了巨大的變遷,由傳統(tǒng)的瀑布式開(kāi)發(fā)和一次性全量交付逐漸過(guò)渡為敏捷研發(fā),來(lái)跟上業(yè)務(wù)及商業(yè)化需求。
然而,傳統(tǒng)的敏捷研發(fā)模式存在諸多問(wèn)題:安全責(zé)任過(guò)度依賴(lài)于有限的安全資源、安全團(tuán)隊(duì)在上線前介入、安全活動(dòng)與研運(yùn)流程嚴(yán)重割裂、系統(tǒng)安全問(wèn)題暴露滯后等,非但不能有效地進(jìn)行安全防護(hù),還會(huì)影響交付速度。如何在更短的研發(fā)周期內(nèi),快速實(shí)現(xiàn)業(yè)務(wù)價(jià)值,同時(shí)保障質(zhì)量、安全、交付速度的平衡,是傳統(tǒng)敏捷研發(fā)模式面臨的重要挑戰(zhàn)。
此外,傳統(tǒng)的敏捷研發(fā)模式中,需求、設(shè)計(jì)、研發(fā)、測(cè)試、運(yùn)維等角色,工作流程彼此隔離,存在數(shù)據(jù)與信息孤島,研運(yùn)全場(chǎng)景數(shù)據(jù)收集困難,管理角色無(wú)法通過(guò)度量分析及時(shí)發(fā)現(xiàn)進(jìn)度與質(zhì)量的風(fēng)險(xiǎn),更難以追蹤溯源進(jìn)而驅(qū)動(dòng)產(chǎn)研持續(xù)改進(jìn)。
二、DevOps的實(shí)踐情況
研發(fā)與運(yùn)營(yíng)逐步走向一體化的大環(huán)境下,設(shè)計(jì)與執(zhí)行仍基于敏捷研發(fā)框架之下的DevOps,以其一定程度上加速了軟件部署與迭代效率的優(yōu)勢(shì),獲得不少企業(yè)的認(rèn)可與關(guān)注。
在DevOps流程中,研發(fā)人員往往通過(guò)應(yīng)用和編排開(kāi)源工具,以加速開(kāi)發(fā)與部署節(jié)奏。但該模式依賴(lài)于過(guò)多的腳本維護(hù)與人工跟進(jìn),可擴(kuò)展性差,自由編排能力弱,軟件供應(yīng)鏈安全風(fēng)險(xiǎn)極高。
因此,如何保障業(yè)務(wù)及系統(tǒng)安全、如何提高流水線的執(zhí)行效率成為DevOps面臨的最大瓶頸。
三、DevSecOps的演進(jìn)與行業(yè)痛點(diǎn)
1.DevSecOps的誕生與發(fā)展
針對(duì)以上困境,2012年由Gartnert提出的DevSecOps概念,強(qiáng)調(diào)安全左移,讓安全貫穿于業(yè)務(wù)生命周期的每個(gè)環(huán)節(jié),并成為IT組織架構(gòu)內(nèi)所有成員的責(zé)任。發(fā)展至今,業(yè)界關(guān)于DevSecOps的呼聲日益高漲,它是對(duì)自動(dòng)化能力不足、充滿安全瓶頸的敏捷開(kāi)發(fā)模式的關(guān)鍵響應(yīng),從源頭上補(bǔ)齊了DevOps體系缺失的安全能力。
因此,近年來(lái),越來(lái)越多的政企紛紛加入到實(shí)踐行列。顯然,DevSecOps的起源、演進(jìn)發(fā)展及廣泛使用,足以見(jiàn)得市場(chǎng)已對(duì)安全研運(yùn)提出更高標(biāo)準(zhǔn)。
那么,DevSecOps業(yè)內(nèi),已落地的前沿創(chuàng)新及解決方案,是否能夠應(yīng)對(duì)云原生、微服務(wù)、容器等新興技術(shù)帶來(lái)的開(kāi)源漏洞?安全檢測(cè)工具是否準(zhǔn)確、易用、高效?是否打破數(shù)據(jù)孤島,是否實(shí)現(xiàn)真正的項(xiàng)目或團(tuán)隊(duì)協(xié)同?度量分析是否提供智能決策,是否真正驅(qū)動(dòng)產(chǎn)研保質(zhì)增效?
2.DevSecOps實(shí)踐痛點(diǎn):工具單一、能力不足、體系缺失
我們帶著以上疑問(wèn),對(duì)DevSecOps業(yè)內(nèi)已落地的實(shí)踐進(jìn)行了系統(tǒng)性分析。
誠(chéng)然,DevSecOps的出現(xiàn)與實(shí)踐,正在幫助我們找尋速度與安全的平衡點(diǎn),它的體系已日趨成熟,方法論、技術(shù)與實(shí)踐經(jīng)驗(yàn)均有明顯提升。
但目前的DevSecOps實(shí)踐,普遍過(guò)多地關(guān)注在CI/CD流水線相關(guān)的安全工具集成與應(yīng)用上,且大多只集成了SAST工具,做單一源代碼檢測(cè),這種情況下不但工具與流程是不易集中管理與調(diào)整,安全測(cè)試無(wú)法緊跟快速迭代的步伐,嚴(yán)重拖垮交付節(jié)奏,而且缺乏SCA、IAST及模糊測(cè)試等能力,來(lái)為流程中其他階段進(jìn)行更多維度的安全檢測(cè)。
于此同時(shí),我們忽視了一個(gè)重要信息,該種單點(diǎn)防御的方式,即使編排了準(zhǔn)確高效的安全檢測(cè)工具,也只局限于發(fā)現(xiàn)研發(fā)階段的漏洞,但是,漏洞往往并非只發(fā)生于開(kāi)發(fā)編碼階段。
“越早發(fā)現(xiàn)漏洞,修復(fù)成本越低”已然是我們的共識(shí),因此,我們?cè)贒evSecOps的實(shí)施過(guò)程中,應(yīng)該建立完善的風(fēng)險(xiǎn)評(píng)估體系,在設(shè)計(jì)、架構(gòu)階段就介入安全需求,讓安全任務(wù)更為徹底地實(shí)現(xiàn)左移,從源頭上避免漏洞的產(chǎn)生。
3.打破流程閉鎖,縱深安全研運(yùn)體系讓價(jià)值流動(dòng)
隨著交付規(guī)模不斷擴(kuò)大、交付速度要求越來(lái)越高,如何在保障交付速度的前提下,確保研發(fā)質(zhì)量與安全質(zhì)量的一致性,仍是管理角色關(guān)注的重點(diǎn)。在此背景下,需要構(gòu)建一套縱深安全研運(yùn)管理體系,打破流程閉鎖,實(shí)現(xiàn)產(chǎn)品、研發(fā)、運(yùn)維一體化管理,提高自動(dòng)化能力,減弱對(duì)人工的依賴(lài),以可視化、智能化驅(qū)動(dòng)安全研運(yùn)。以智能的研發(fā)效能分析為主要任務(wù),實(shí)現(xiàn)交付效率、交付質(zhì)量、交付能力的可視、溯源與追蹤,通過(guò)精準(zhǔn)的分析模型,驅(qū)動(dòng)管理者持續(xù)改進(jìn)產(chǎn)研效率,助力企業(yè)向市場(chǎng)快速交付更多的業(yè)務(wù)價(jià)值。
四、縱深一體化安全研運(yùn)管理平臺(tái):讓價(jià)值與流程高效聯(lián)動(dòng)
縱觀DevSecOps市場(chǎng),當(dāng)前研發(fā)效能普遍停留在簡(jiǎn)單度量指標(biāo)的展示,度量模型建設(shè)及智能決策能力還有待提高。鑒于如此,我們梳理了來(lái)自不同行業(yè)中諸多客戶的DevSecOps落地案例,總結(jié)了集安全技術(shù)能力、超前的DevSecOps組織與文化理念、完備的安全服務(wù)于一體的實(shí)踐方法,一方面,助力投資方與創(chuàng)新實(shí)踐者對(duì)齊行業(yè)認(rèn)知,另一方面,幫助政企IT團(tuán)隊(duì)精準(zhǔn)選型,避免踩坑,順利完成安全研運(yùn)一體化的DevSecOps的轉(zhuǎn)型與落地。
我們通過(guò)打造研運(yùn)全流程的縱深一體化安全研運(yùn)管理平臺(tái),幫助客戶打破信息與數(shù)據(jù)隔離,采用了基于數(shù)據(jù)挖掘與人工智能技術(shù),收集多場(chǎng)景、全流程的數(shù)據(jù),搭建了領(lǐng)先于行業(yè)的智慧效能度量體系,幫助企業(yè)快速找到研運(yùn)低效率、低質(zhì)量的根源,進(jìn)而通過(guò)BI決策模型輔助團(tuán)隊(duì)快速交付。讓企業(yè)更高效、更可靠地,向市場(chǎng)持續(xù)交付高質(zhì)量的業(yè)務(wù)價(jià)值。
在具體實(shí)踐中,縱深一體化安全研運(yùn)管理平臺(tái),在需求設(shè)計(jì)階段通過(guò)S-SDLC威脅建模,針對(duì)每個(gè)具體需求,在產(chǎn)研各個(gè)環(huán)節(jié)中,植入由安全專(zhuān)家發(fā)起的安全需求。
一方面,提高了產(chǎn)研團(tuán)隊(duì)的安全防范意識(shí),從源頭減少了漏洞產(chǎn)生。另一方面,我們長(zhǎng)期堅(jiān)持“授人以魚(yú)不如授人以漁“的理念”,以賦能形式整體上提高客戶團(tuán)隊(duì)的安全研發(fā)能力,幫助客戶降低對(duì)安全團(tuán)隊(duì)的依賴(lài),使市場(chǎng)實(shí)現(xiàn)“研運(yùn)普惠安全”。
在研發(fā)編碼階段,我們?nèi)诤隙喾N擁有自主知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)化工具,例如靜態(tài)代碼掃描(SAST)、交互式應(yīng)用安全檢測(cè)(IAST)、軟件成分分析(SCA)、模糊測(cè)試(FUZZ)、動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)等工具,幫助客戶實(shí)現(xiàn)了更低的MTTD(平均檢測(cè)時(shí)間),有效地將安全風(fēng)險(xiǎn)阻隔于上線前。并且,通過(guò)對(duì)迭代、任務(wù)、缺陷、里程碑等細(xì)粒度的記錄與數(shù)據(jù)分析,實(shí)現(xiàn)了對(duì)研發(fā)流程的精細(xì)化管理。此外,采用了領(lǐng)先業(yè)內(nèi)的平均交付時(shí)間、需求流負(fù)載、缺陷逃逸率等關(guān)鍵度量指標(biāo),以及基于大數(shù)據(jù)和AI技術(shù)的智能度量模型,落地了一套全流程的安全研運(yùn)效能度量方法。
事實(shí)上對(duì)于客戶而言,快速、準(zhǔn)確地檢測(cè)出問(wèn)題僅僅是第一步,如何對(duì)安全問(wèn)題做出快速響應(yīng)更為重要。鑒于此,在上線及運(yùn)營(yíng)階段,我們通過(guò)建立完整的安全響應(yīng)機(jī)制,有效地幫助客戶降低了MTTR(平均響應(yīng)時(shí)間)。
此外,縱深一體化安全研運(yùn)管理平臺(tái)配備基于數(shù)智融和的安全態(tài)勢(shì)感知數(shù)字大屏,輔助客戶實(shí)現(xiàn)了對(duì)安全風(fēng)險(xiǎn)的預(yù)防、持續(xù)監(jiān)控、分析和快速響應(yīng)。并在軟件運(yùn)行階段,我們采用RASP安全防護(hù)技術(shù),提供了隱藏漏洞的更多可見(jiàn)性,幫助政企有效應(yīng)對(duì)運(yùn)行時(shí)攻擊。
自DevSecOps理念誕生以來(lái),業(yè)內(nèi)一直處于探索演進(jìn)過(guò)程中,我們專(zhuān)注于以更專(zhuān)業(yè)、更安全、更值得信賴(lài)的方式,為DevSecOps行業(yè)快速發(fā)展提供可靠的參考。
五、未來(lái)展望
隨著數(shù)字化轉(zhuǎn)型與等保升級(jí),DevSecOps在中國(guó)市場(chǎng)呈現(xiàn)了快速增長(zhǎng)的態(tài)勢(shì),開(kāi)源網(wǎng)安堅(jiān)信唯創(chuàng)新者勝,能夠感知全盤(pán)的安全態(tài)勢(shì),并實(shí)現(xiàn)體系化縱深安全防御的研運(yùn)一體化產(chǎn)品,將引領(lǐng)行業(yè)發(fā)展。
關(guān)于開(kāi)源網(wǎng)安
開(kāi)源網(wǎng)安是中國(guó)軟件安全行業(yè)創(chuàng)領(lǐng)者,竭誠(chéng)與客戶攜手構(gòu)建數(shù)字化時(shí)代的軟件安全體系。經(jīng)過(guò)近十載的研發(fā)與深耕,開(kāi)源網(wǎng)安已將多項(xiàng)自有技術(shù)成果應(yīng)用于各行業(yè)的數(shù)字化進(jìn)程,引領(lǐng)中國(guó)軟件安全的創(chuàng)新與發(fā)展。
開(kāi)源網(wǎng)安自誕生起便致力于打造自主核心技術(shù),以捍衛(wèi)中國(guó)軟件安全為使命。我們逐年推出了多款具有完全自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)品(SAST、IAST、SCA、Fuzz、RASP、DevSecOps等),填補(bǔ)了國(guó)內(nèi)軟件安全產(chǎn)品的空白, 完成了自有產(chǎn)品矩陣的構(gòu)建, 更打破了國(guó)外技術(shù)的壟斷。多年來(lái)我們積累了大量與世界500強(qiáng)企業(yè)的合作經(jīng)驗(yàn),業(yè)務(wù)覆蓋政府、金融、能源、通信、汽車(chē)、物聯(lián)網(wǎng)等多元化場(chǎng)景。期間我們?cè)Χ嗉抑袊?guó)大型企業(yè)通過(guò)海外軟件安全標(biāo)準(zhǔn)的認(rèn)證,成就大國(guó)品質(zhì)出海。在這十年間,我們屢獲國(guó)家權(quán)威認(rèn)可,多次參與軟件安全國(guó)家標(biāo)準(zhǔn)制定。
未來(lái),我們期待與客戶并肩應(yīng)對(duì)瞬息萬(wàn)變的數(shù)字化轉(zhuǎn)型挑戰(zhàn),無(wú)論您來(lái)自任何行業(yè),您都能在與開(kāi)源網(wǎng)安的合作中獲得領(lǐng)先的、跨維度的軟件安全解決方案,實(shí)現(xiàn)“安全"數(shù)字化轉(zhuǎn)型。
評(píng)論