在DevOps流程結(jié)束時，安全性已不再承擔(dān)責(zé)任。它需要集成到開發(fā)和操作的每個步驟中，以消除應(yīng)用程序出廠前的漏洞。本質(zhì)上，DevOps需要發(fā)展為DevSecOps。

如果我們告訴您，多達92％的DevOps團隊在將代碼投入生產(chǎn)之前沒有發(fā)現(xiàn)所有安全漏洞，您會感到驚訝嗎？我們相信他們中的大多數(shù)人很高興他們比其他人更早發(fā)現(xiàn)了該漏洞。因為，優(yōu)秀的安全團隊知道，即使在應(yīng)用程序中出現(xiàn)一個小漏洞，也可能會帶來風(fēng)險。

當(dāng)企業(yè)應(yīng)用程序團隊以比以往更多的時間和更快的速度部署時，尤其如此。傳說Amazon每秒部署一次，而Netflix，Google和其他公司則每天部署數(shù)千次。實際上，您可能會看到的金融服務(wù)公司CapitalOne每天會部署50次。

能夠?qū)崿F(xiàn)這種快速發(fā)展的技術(shù)關(guān)鍵趨勢之一就是集裝箱化。Kubernetes正在將多個企業(yè)應(yīng)用程序提供給云。結(jié)合強大的DevOps，企業(yè)應(yīng)用程序開發(fā)可提供更高的速度和敏捷性。但是，這并不完全妥協(xié)。

長期以來，安全性一直被認為是一個過程中的破壞者-在快速的應(yīng)用程序開發(fā)空間中，您會發(fā)現(xiàn)有關(guān)“犧牲”安全性的速度的一些對話。結(jié)果，我們看到“容器軟件中的漏洞在2019年上半年與2018年同期相比增加了46％，與兩年前的數(shù)字相比增加了240％?！?/span>

以這種速度，安全不再是DevOps流程結(jié)束時的負擔(dān)。它需要集成到開發(fā)和操作的每個步驟中，以消除應(yīng)用程序出廠前的漏洞。本質(zhì)上，DevOps需要發(fā)展為DevSecOps。

什么是DevSecOps？

如果DevOps要打破開發(fā)和運營之間的孤島，DevSecOps會對DevOps和安全性做同樣的事情。DevSecOps將安全性納入軟件開發(fā)生命周期，以盡快消除漏洞。

四個關(guān)鍵因素強調(diào)了DevSecOps：

• 從一開始就考慮安全性。

• 將安全程序集成到DevOps流程中。

• 在開發(fā)生命周期中建立可觀察性和可審核性。

• 盡可能使安全任務(wù)自動化。

讓我們一一看一下。

從一開始的安全性

您的應(yīng)用程序團隊中有多少名Infosec工程師？現(xiàn)在，信息安全工程師與開發(fā)人員和操作員的比例是多少？可能是，您沒有足夠的信息安全工程師。這是很常見的。通過向左移動安全性，DevSecOps使安全性成為應(yīng)用程序團隊的集體責(zé)任，而不是部署瓶頸處的孤獨的信息安全專業(yè)人員。從一開始，您可以通過以下幾種方法來包括安全性。

• 將安全團隊帶到DevOps表。鼓勵他們自由分享有關(guān)已知威脅的見解和反饋。

• 對您的開發(fā)團隊進行安全編碼培訓(xùn)，以消除常見和重復(fù)的錯誤，甚至在錯誤出現(xiàn)之前也是如此。

• 解決出現(xiàn)的安全性問題，而不是在受到攻擊或應(yīng)用程序受到威脅之后。

• 反復(fù)檢查所有設(shè)備和工具，以確保它們符合您的安全策略。

流程驅(qū)動的DevOps的安全性

即使是最有心的開發(fā)人員，也可能會忙于快速開發(fā)工作軟件，從而無法跟蹤應(yīng)用程序的安全需求。為了使安全性不可轉(zhuǎn)讓，您需要明確的流程，標(biāo)準(zhǔn)化和常規(guī)檢查點。這里有一些開始設(shè)置它的方法。

• 進行全面的風(fēng)險收益分析，以衡量您的風(fēng)險承受能力并了解您的安全狀況。

• 為訪問控制，機密管理，防火墻，漏洞掃描等安全功能構(gòu)建明確的流程并將其付諸實踐。

• 為您的應(yīng)用程序代碼以及系統(tǒng)中所有基礎(chǔ)代碼或平臺代碼實施版本控制過程。

• 如果使用可變系統(tǒng)，請考慮不可變的基礎(chǔ)架構(gòu)。

通過可觀察性和可審核性確保安全性

我們已經(jīng)討論過，要成功采用DevSecOps，安全團隊必須向左移動。但是，承擔(dān)責(zé)任不只是編寫具有安全意識的代碼。開發(fā)和運營團隊必須在整個多云部署中的整個應(yīng)用程序開發(fā)生命周期中構(gòu)建一個監(jiān)視和審核系統(tǒng)。您可以通過以下幾種方法實現(xiàn)這一目標(biāo)。

• 在整個企業(yè)中建立“安全支持者”網(wǎng)絡(luò)，這些人是非安全團隊中注重安全性的成員。本質(zhì)上，在不實際增加團隊人數(shù)的情況下獲得更多的信息安全工程師。

• 使監(jiān)視和可觀察性達到服務(wù)水平。設(shè)置對容器，集群和容器的監(jiān)視。

• 設(shè)置工件級別的元數(shù)據(jù)以標(biāo)識容器映像，使用的庫，存儲庫信息，提交信息等。

• 具有配置更改的實時可見性。

• 針對合規(guī)性和安全性相關(guān)問題自動發(fā)出警報。

自動化安全

如果我們必須選擇Kubernetes的一項主要優(yōu)勢，那就必須是規(guī)?；＜词乖趶?fù)雜的多云或混合環(huán)境中，K8s仍能以前所未有的規(guī)模實現(xiàn)應(yīng)用程序部署。但是以這種規(guī)模手動實施安全檢查點實際上是不可能的。這就是為什么將自動化納入DevSecOps流程至關(guān)重要的原因。

• 自動化基礎(chǔ)架構(gòu)配置。

• 將掃描集成到您的CI / CD管道中，并在生產(chǎn)開始之前確保所有容器映像都是安全的。

• 隔離容器注冊表，并控制其訪問。

• 使用安全性靜態(tài)和動態(tài)分析工具嵌入自動代碼審查和安全性測試。

• 自動更新安全補丁。

到2020年，完全忽略企業(yè)應(yīng)用程序開發(fā)中的安全性。風(fēng)險很高，其后果（財務(wù)，聲譽和合規(guī)性）可能很重要。將安全掌握在一些專家手中同樣有風(fēng)險。企業(yè)需要的是將安全性戰(zhàn)略性納入DevOps流程，端到端監(jiān)視和審計以及安全性任務(wù)的周到自動化的完美結(jié)合。解決該問題的另一種有效方法是找到一個可以提供安全管理功能的部署自動化平臺。