DevSecOps是當(dāng)今最熱門(mén)的話(huà)題之一，因此剛好是嶄新的，因此為了將其付諸實(shí)踐，我們需要更好地理解它。首先，我們需要邁出關(guān)鍵的第一步：整合自動(dòng)化安全掃描。本文介紹了此過(guò)程的基本階段。

關(guān)于DevSecOps的典型敘述著重于人員和流程，常常強(qiáng)調(diào)需要改變個(gè)人與代碼開(kāi)發(fā)的交互方式。在安全性介紹中向左轉(zhuǎn)（最容易發(fā)現(xiàn)問(wèn)題）是明智之舉。但這只是答案的一部分。必須采用適當(dāng)?shù)募夹g(shù)以允許所需的自動(dòng)化，否則，DevSecOps只是一個(gè)詞。

在這里，可以根據(jù)安全基準(zhǔn)自動(dòng)評(píng)估代碼的能力成為實(shí)現(xiàn)真正的DevSecOps的重要第一步。到2019年，企業(yè)DevSecOps倡議超過(guò)70％將并入2016根據(jù)自動(dòng)安全漏洞和配置掃描開(kāi)源組件和商業(yè)包裝，從不到10％，Gartner的。

Gartner報(bào)告詳細(xì)介紹了在監(jiān)管情況下克服DevOps障礙的最佳策略。除了DevOps和InfoSec之間更緊密的協(xié)作之外，我們還發(fā)現(xiàn)了自動(dòng)化測(cè)試，自動(dòng)化部署，自動(dòng)化工作流以及手動(dòng)步驟的自動(dòng)化。自動(dòng)執(zhí)行安全掃描是自然而然的第一步，它將為每個(gè)新代碼開(kāi)發(fā)奠定堅(jiān)實(shí)的基礎(chǔ)。

組織需要能夠快速測(cè)試其安全策略，并確保它們滿(mǎn)足法規(guī)要求并采取正確的安全狀態(tài)。但是，這不應(yīng)該是一次性測(cè)試，對(duì)于PCI DSS之類(lèi)的東西，一開(kāi)始的100％遵從性是不夠的，必須對(duì)其進(jìn)行維護(hù)。Verizon的2017年《支付安全報(bào)告》發(fā)現(xiàn)，PCI DSS合規(guī)性從2012年的11％躍升至2016年的55％，但幾乎有一半的公司在9個(gè)月內(nèi)退出合規(guī)性。為了避免這種風(fēng)險(xiǎn)，必須將自動(dòng)安全掃描永久納入該過(guò)程。幸運(yùn)的是，這是完全可以實(shí)現(xiàn)的。

自動(dòng)安全掃描是什么樣的？

下面描述的工作流程可以用作希望將自動(dòng)化引入CI / CD流程的任何階段的團(tuán)隊(duì)的模板。整個(gè)環(huán)境由CI / CD系統(tǒng)（在本例中為Jenkins）組成，Jenkins是API驅(qū)動(dòng)的評(píng)估平臺(tái)，其中包含有關(guān)不同GET，POST和PUT命令的文檔；與該平臺(tái)通信的shell腳本，從而自動(dòng)執(zhí)行安全性；對(duì)于這個(gè)示例，是Docker Hub。

工作流程如下：

1.開(kāi)發(fā)人員通過(guò)CI / CD平臺(tái)啟動(dòng)構(gòu)建。

2.作為構(gòu)建的一部分，有一個(gè)觸發(fā)器來(lái)調(diào)用腳本。這并不比添加其他構(gòu)建步驟困難。

3.現(xiàn)在轉(zhuǎn)到實(shí)際腳本，第一步是從存儲(chǔ)庫(kù)（在本例中為Docker Hub（docker.io））中提取所需的Docker映像。該腳本應(yīng)具有足夠的通用性，可以從任何公共或私有存儲(chǔ)庫(kù)中提取圖像。通過(guò)API調(diào)用，腳本將Docker映像推送到評(píng)估平臺(tái)。

4.下一步是選擇策略框架。在這里，我們選擇Docker Image Scanning，因?yàn)槲覀兿Ｍu(píng)估Docker映像，但是該腳本可用于處理其他類(lèi)型的框架。例如，目標(biāo)可能是自動(dòng)評(píng)估新虛擬實(shí)例的PCI安全狀態(tài)。在這種情況下，評(píng)估平臺(tái)會(huì)將PCI框架與新創(chuàng)建的服務(wù)器進(jìn)行比較。

5.最后，腳本觸發(fā)實(shí)際評(píng)估。工作流圖的左側(cè)是此操作的API調(diào)用的代碼段。

6.平臺(tái)根據(jù)策略框架評(píng)估映像，然后生成風(fēng)險(xiǎn)評(píng)分，在這種情況下為“ 80”。

7.腳本包含將這個(gè)分?jǐn)?shù)與開(kāi)發(fā)人員設(shè)置的閾值進(jìn)行比較的邏輯。

8.如果得分大于等于=“ 75”，則該圖像被認(rèn)為是安全的，并會(huì)自動(dòng)升級(jí)到下一步。相反，如果圖像得分低于“ 75”，則認(rèn)為圖像不安全，并通知開(kāi)發(fā)人員。

總體邏輯流程，API驅(qū)動(dòng)的評(píng)估平臺(tái)和腳本共同構(gòu)成了安全自動(dòng)化的得分。可以將其概括化以支持CI / CD流程中多個(gè)階段的其他安全測(cè)試和調(diào)用。

使DevOps自動(dòng)化并因此啟用DevSecOps，需要人員，流程和技術(shù)的結(jié)合。通過(guò)自動(dòng)代碼評(píng)估來(lái)標(biāo)記安全問(wèn)題，以前缺少的組件-技術(shù)-不再是成功的空白。