高效落地DevSecOps的五大核心原则

当前应用程序开发面临的一个持久挑战，就是在不影响敏感DevOps流程、不降低开发人员安全体验的前提下，确保应用程序更加安全。当今网络安全威胁遍布软件供应链的上下游，应用程序开发组织迫切需要通过DevSecOps实践将应用安全深度整合到整个软件开发生命周期中。

有效落地DevSecOps的核心原则至关重要，严格的访问控制、全面的代码审查和强制执行繁杂的审批流程，这些举措可能会改善应用程序的安全状况，但同时也会阻碍应用开发的敏捷和创新。安全测试工作也是如此，虽然能够发现大量漏洞，但开发人员没有足够意愿以及安全能力来修复这些漏洞，应用程序的安全水位也无法提升。

从总体上来看，构建和运行DevSecOps实践意味着企业要能够运行一个安全的交付流程，包括：安全需求分析、安全设计、安全编码、安全测试、漏洞优先级管理、防止不安全代码发布、确保软件及其所有组件的完整性等等，过程中还应该要兼顾“安全效率、安全体验、安全管控能力”三个方面。高效落地运行DevSecOps需要具备以下五大核心原则。

一个强大且富有成效的文化对于任何团队的成功至关重要，但这也是最难实现的要素。这一点在DevSecOps中尤为明显，正如最近的一项行业研究所显示的那样，“超过一半（51%）的IT决策者报告说他们的团队中存在明显的对安全文化的抵制，而47%的人表示团队间的协作不足。我们不能低估安全意识文化在成功DevSecOps中的重要性。

使安全成为一种共同责任

对于任何一家企业来说，每一位员工都需要为组织整体的安全负责，而不仅仅是那些职位中带有“安全”字样的人员。究其核心，DevSecOps是一种共担责任的文化，同时，以共同的安全导向思维运作也决定了DevSecOps流程如何适应并推动更好地选择DevOps平台、工具以及安全解决方案。

打破职能隔阂，持续协作

由于DevSecOps是软件开发、IT运维和安全的交汇点，因此打破隔阂，积极持续地进行协作对于成功非常关键。对于一个没有建立正式DevSecOps框架的DevOps中心化组织来说，安全团队的介入就像一个不受欢迎的闯入者一样。突然强加的流程变更或工具往往会导致开发流程的阻滞以及开发者的额外投入，因此需要建立有效的协作与组织机制，打破职能隔阂，高效协作。

提及DevSecOps就不可避免地要谈到“左移”。左移安全已经成为当前以DevSecOps为导向的原则，人们很容易认为，只要将安全检查提前到软件开发生命周期的更上游，就实现了一个有效的DevSecOps程序。然而，实际上你左移的是什么，才是决定你DevSecOps成功与否的关键。

左移安全基于这样一个经过验证的观点：在软件开发流水线的早期执行应用程序安全测试（而不是仅在生产前）可以更好地及时捕捉已知的代码和工件漏洞，并及时修复它们。然而，如果开发者独自承担运行测试、收集扫描器输出、优先处理漏洞以及修复漏洞的全部负担，这仅仅是安全工作量的左移。因此，安全左移不能仅仅是工作左移。

在DevOps世界中一切都发展得很快，所以很容易犯错误。但即使是小错误或遗漏，例如遗漏的CVE（常见漏洞和曝光）或在开发流水线中的未经授权的配置更改，也可能带来巨大的安全和合规风险。因此，在整个研发过程中需要进行全面治理和严格防护。

保护现代应用程序的挑战已经变得日益复杂，这在很大程度上是由于软件生产者用来构建应用程序的大量开源软件（OSS）组件和其他第三方工件。这些组件每一个都为最终产品引入了新的潜在漏洞，这使得软件的客户和消费者面临风险。一个应用程序的整体安全和合规风险是所有代码、人员、系统和流程的函数，这些因素都有助于该应用程序的软件工件的开发和交付，无论是在组织内部还是外部。

因此，开源软件组件成为网络攻击者的理想目标，正如Solarwinds、Log4j安全事件所证明的那样。一旦一个软件构建模块被破坏，就有可能对成千上万的该组件的最终消费者造成严重破坏。基于这个原因，DevSecOps的重点必须从组织的源代码扩展到整个软件供应链，这是所有代码、人员、系统和流程的总和。

DevOps已经成为持续集成和持续部署实践的代名词，因此DevSecOps应该实现持续安全。DevSecOps成功的很大一部分是能够跟上（甚至领先于）应用开发的速度。虽然一个新兴的DevSecOps计划无疑需要时间来建立敏捷性以及有效性，但加速DevSecOps成熟度的关键是使用智能自动化和人工智能。

* 原文地址：https://thehackernews.com/2024/05/five-core-tenets-of-highly-effective.html