什么是 DevSecOps?
「DevSecOps」 的作用和意义建立在「每个人都对安全负责」的理念之上,其目标是在不影响安全需求的情况下快速的执行安全决策,将决策传递至拥有最高级别环境信息的人员。
如今,网络空间中的诸多不安全因素使传统的安全领导可以力争在高管中占有一席之地。虽然拥有一席之地增加了安全决策的有效执行,但由于缺乏将安全技能融入到价值创造的过程当中,致使业务成果的显著减缓。没有足够的人手,企业经营者期望的速度无法实现,这种安全、资源和盈利的冲突使“安全”如何创造价值的解决方案显得越发必要。
考虑到业务对于 DevOps,敏捷和公共云服务的需求,传统安全流程中的很多环节已经成为障碍,必须消除,遗憾的是很多企业并没有到意识点。传统安全的运营是基于,一旦系统设计完成,其安全缺陷可以在系统发布前,由安全人员确定,并由企业经营者修正。这只需要有限的安全技能,就能达到结果,并且避免了在较庞大系统中增加安全上下文的需求。但是使用这种方式设计的流程只适用于瀑布模式的业务活动,并且经各方同意。不幸的是,随着迭代的引入,这样运营安全的方式是有缺陷的,并且在系统内带来了内在风险,因为业务决策需要平衡内联,并且跟上业务的速度。因此,无法实现协作。
通常,安全团队无法收集到需要的所有信息,去做出有意义的安全决策。为了提供能够密切映射客户需求的迭代值,价值创造流程不断加快。致使周期结束时的一次决策或者完整系统的测试都可能会带来毁灭性的结果。事实上,大多数这样的安全决策很少被采纳,经常被业务主管驳回,可一旦安全事件或泄露发生时,安全团队又首先遭到质疑。
随着 DevOps 的变化,传统安全不再是一种选择。在开发周期中,它的位置太靠后,而与迭代设计和系统发布相协作时,它又不够迅速。随着 DevSecOps 的引入,企业经营者或安全人员没有必要为了减少风险而遗弃它;相反的,企业内的每个人都应该利用它,并加以改进,那些拥有可以为系统贡献安全价值的技术人员更应该支持它。没有内置安全控制,肯定会发生系统故障,因为单纯的回避安全,只会给系统带来更多的风险。因此,认为价值创造和安全不能协作的想法是荒谬的。
DevSecOps 的理念使它成为协作系统,企业经营者可获得有助于安全决策的工具和流程,同时安全人员也可以使用和调试这些工具。在这种情况下,安全工程师与 DevSecOps 理念一致,作为安全从业者能够提供价值,并且为了能够给更庞大的生态系统提供安全价值,他们必须做出相应的改变。这样,DevSecOps 工程师为系统提供的价值,是一种持续监测的能力,在非合作攻击者发现缺陷前,打击和确认漏洞。因为这些改变,DevSecOps 工程师是外部攻击者的有力竞争对手。这允许所有人,包括安全人员,在业务生态系统内为迭代价值创造做出贡献,而不需要将严重缺乏的安全从业人员额外添加到DevOps团队。
而且,DevSecOps作为一种理念和安全转型,进一步与其他安全变革相协作。换句话说,无论你是不是相信安全需要被添加到开发,运营,或其他业务流程中,事实就是如此!安全需要被添加到所有业务流程中,并且需要创建一个专门的团队,理解业务,使用工具来发现缺陷,持续测试,而企业经营者则需要运用科学预测做出决策。更进一步,要完成完整的变革进程,DevSecOps需要高级管理层和董事会的参与,将信息作为业务运营的关键指标,在当今经济下,在竞争日益激烈的低信任环境中,证明自己的价值。
本文系 OneASP 工程师翻译。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。
本文转自 OneAPM 官方博客