我们正走向万物互联的时代,产业数字化转型是当下及未来的必经之路,这一切都离不开软件的驱动。有数字化,有软件,那信息安全问题也随之而来。企业在看到数字化转型带来红利的同时,安全风险不能忽视。可以说软件安全在很大程度上影响数字化转型的速度和质量,为产业数字化转型提供有力支撑。
由于新技术不断涌现及其应用日趋成熟,软件开发模式发生改变,DevOps 快速兴起,并紧随安全“左移”被广泛认可,DevSecOps 已经成为很多企业数字化转型过程中应用安全的基础保障。这不仅有利于企业更快速、更安全地将产品上市,也加速了社会数字经济的发展。
新思科技一直致力于帮助企业更快速地构建安全、优质的软件,在推动DevSecOps落地方面有丰富经验。新思科技强调引入DevSecOps可以从源头及时治理安全问题,走出“安全孤岛”。但是随着网络环境与黑客攻击方式越来越复杂、企业文化鸿沟以及高效工具缺失等问题,落地DevSecOps对于现代IT企业来说是一件很棘手的工作。
新思科技软件质量与安全部门高级安全架构师杨国梁表示:“DevSecOps不止是一套工具,而是融合开发、安全及运营理念以创建解决方案的系统方法。这需要把人员、流程、技术、工具结合起来,由内到外强化应用,使其能够灵活防御各种潜在威胁。新思科技通过实际经验总结出一些建议,助力企业更高效地落地DevSecOps,进而推动产业数字化转型,更快地迈上高质量发展之路。”
培养 DevSecOps 文化和思维,进行安全培训
DevSecOps的核心是文化和思维方式。以前,安全防护只是特定团队的责任,在开发的最后阶段才会加入;但是这种做法现在已经行不通了。DevSecOps要求
通过专业培训在企业内部全面建立起安全意识与安全保障机制。有些企业会有一种误区,觉得开发人员可以满足整个软件开发生命周期(SDLC)中的任何安全需求,或者开发人员可以自学这些安全知识。
杨国梁介绍道:“自学可能适用于少数开发人员,但是需要多长时间以及评估指标是什么很难界定,尤其是DevSecOps还没有在真正意义上普及起来。企业更需要安全专家提供培训,以帮助他们与时俱进。新思科技可以提供安全发展计划和培训、CI/CD 战略与规划及云安全评估等,推动企业循序渐进地部署DevSecOps。”
企业可以将DevSecOps文化融入日常职能,平衡安全、速度和规模。如果内部某一团队有效实施了DevSecOps,并从中获益,那他们可以成为其他团队的范例,复制成功。
整合自动化工具,内置安全
云计算开源产业联盟近期发布的《中国DevOps现状调查报告(2021年)》显示,五成以上的受访企业尝试实践DevSecOps。而且,源代码静态安全检测、容器镜像安全扫描以及Web应用防火墙成为企业应用最广泛的DevSecOps实践。
杨国梁说:“报告指出Coverity静态应用安全测试(SAST)是企业应用最为广泛的四种安全工具之一,并且占比最高,达32.74%。这证明了新思科技的静态分析解决方案已经受到中国市场的充分认可。”
凭借Coverity,企业可以实现大规模静态分析自动化,帮助开发和安全团队在SDLC早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。此外,新思科技还提供Black Duck软件组成分析(SCA)、Seeker交互式应用安全测试(IAST) 以及API 安全测试等工具,在软件中内置安全,并贯穿整个SDLC。
将安全漏洞视为软件缺陷,适时评估安全计划成果
安全漏洞的报告方式通常不同于质量和功能缺陷。通常,企业在两个不同的位置维护两种类型的结果——安全和质量。这降低了每个团队和相关人员在查看项目的整体安全状况时的可见性。在同一处维护安全和质量有助于团队以相同的方式和优先级处理这两种类型的问题。
在企业部署工具发现质量和安全问题并进行修复后,要如何评估安全计划的整体成果,以持续推进DevSecOps呢?企业需要一把标尺。
新思科技软件安全构建成熟度模型(BSIMM) 是一种基准工具,通过数据驱动的客观方式展示当前软件安全性活动的概况。与规定性模型不同,描述性模型BSIMM实际相当于一个行业报告,企业可以参照其中的数据来定位自己的坐标,考核软件安全计划大致在一个什么水准,是否需要做改进和进一步提升等等。企业可以凭借这把标尺决定哪些额外安全活动对支持其整体DevSecOps战略有意义,并且有针对性地制定下一步计划。
杨国梁总结道:“软件安全是数字化转型的‘刚需’,DevSecOps可将安全防护融入整个SDLC,充分发会DevOps的敏捷性和响应力。当然,落地DevSecOps不会一蹴而就,需要一套整体的规划,覆盖人员、技术、流程、评估等。因此,软件开发需要联动安全开发与业务、运维等,将安全开发作为企业文化延伸到各个部门。新思科技一直强调安全测试应尽可能在 SDLC 的最左侧(即最早期)开始,即安全‘左移’。防患未然,才能为DevSecOps顺利落地保驾护航。”