正文

带你看清DevSecOps的发展背景、现状及未来趋势和最佳实践(附下载)

admin
admin V管理员 /0 评论 /219 阅读
0819
此篇文章发布距今已超过202天,您需要注意文章的内容或图片是否可用!

1. 概览

1.1. DevSecOps产生背景

  • 传统安全模式局限:传统的安全实践往往在软件开发的后期阶段进行,这导致安全问题难以及时发现和修复,增加了安全风险。
  • 软件开发周期变短:随着云计算、移动应用、物联网等技术的普及,软件开发变得更加快速和频繁,传统的安全测试方法已无法适应这种快速迭代的节奏。
  • 安全要求不断提高:随着数据泄露事件的频繁发生,用户对应用和服务的安全性要求越来越高,企业需要提供更安全、更可靠的产品以满足市场需求。

1.2. DevSecOps定义

DevSecOps 是一种融合了开发(Dev)、安全(Sec)和运维(Ops)的集成方法论,旨在通过将安全实践融入软件开发和部署的整个生命周期,提高软件系统的安全性、可靠性和效率。这种模式强调安全左移(Shift Left)、持续自动化和人人参与安全,以尽早发现并修复安全问题,从而降低成本,并通过CI/CD将安全检测集成到研发流水线中,实现自动反馈和跟踪。

DevSecOps工具链示意图

2. DevSecOps发展现状

  • 标准化组织的推动:DevSecOps 的实践得到了国际标准化组织(ISO)和全球软件开发社区的广泛认可,ISO 27034 等标准为 DevSecOps 提供了指导框架。

  • 工具和平台的丰富:市场上出现了众多支持 DevSecOps 实践的工具和平台,如 Snyk、SonarQube、JFrog、GitLab CI/CD 等,这些工具帮助团队自动化安全检查、代码审查、漏洞管理等流程。

  • 企业实践的普及:越来越多的企业开始采用 DevSecOps 方法,将其作为提高软件质量、降低安全风险的关键策略。例如,Google、Microsoft 、华为等大型科技公司已经在内部广泛实践 DevSecOps。根据信通院调查数据显示,实践DevSecOps的企业超过70%。

3. DevSecOps成熟度评估

3.1. 可信研发运营安全能力成熟度模型

信通院牵头联合十余家企业共同制定了《可信研发运营安全能力成熟度模型》,指导企业落地DevSecOps。可信研发运营安全能力成熟度模型强调安全左移,关注需求、设计、研发安全,分为管理制度以及涉及软件应用服务全生命周期的要求、安全需求分析、设计、研发、验证、发布、运营和下线九大部分,每个部分定义了关键安全要素,规范了企业研发运营安全能力的成熟度水平

可信研发运营安全能力成熟度模型

可信研发运营安全能力成熟度项目将对标行业标准,围绕标准要求开展安全咨询测评,通过预评估来查漏补缺,对标同业机构,提升企业研发运营全流程安全能力,最终达到可信研发运营安全标准要求,获得第三方资质证书。

3.2. OWASP DevSecOps成熟度模型

OWASP SAMM是一个开源的DevSecOps成熟度评估模型,从5个维度,18个子维度将DevSecOps的成熟度划分为4个等级,用于指导被评估企业如何开展DevSecOps实践。

3.3. BSIMM DevSecOps成熟度模型

Synopsys推出的BSIMM(Building Security In Maturity Model)可以量化多家不同组织的软件安全活动,揭示其共同点和不同点,从而反映每个组织的独特性。BSIMM评估计分卡可用于评估SSI的当前状态、找出差距、为变更事项分配优先级、并确定如何以及在哪里分配资源,以实现立即改进。

4. 最佳实践

4.1. 华为

在设计阶段,有威胁建模工具 SecDesign、隐私分析评估与管理平台 SecPCP;在开发阶段,有安全编码检查平台 SecSolar;在测试阶段,有安全测试云 SecGuard;在发布阶段有SignCenter数字签名平台及配套验证工具。在 Ops 阶段,华为也有相应的工具,如安全态势感知和漏洞扫描VSS,具体参见下图。

4.2. 悬镜

悬镜安全基于多年来敏捷安全的落地实践经验,探索出了原创专利级的DevSecOps智适应威胁管理解决方案,赋能DevSecOps全流程的安全风险治理。

4.3. 天翼云

天翼云作为领先的云计算服务提供商,深知强化自身安全能力的重要性。面对日益增长的网络威胁和复杂的安全挑战,天翼云通过自研安全工具与多平台构建的全栈安全体系,为保障产品和服务的安全性提供了创新且高效的解决方案。

  • 自研代码安全统一框架:通过天翼云红盾实验室自研代码安全统一框架(融合CTyunSAST、CTyunSCA等工具),支持研发阶段代码安全扫描工作集中开展,加强安全左移能力,提前在研发过程中削减安全风险。
  • 自研攻击面管理系统ASM,深度融合云原生平台:通过天翼云红盾实验室自研的攻击面管理系统-ASM,丰富云原生攻击面自动发现能力。
  • 云原生容器风险持续削减:持续迭代云原生容器风险规范及检测能力,解决云原生服务基础安全。
  • 多平台构建全栈安全体系:DevOps平台、数据安全管理平台、云原生安全平台、安全运营SOC中心、接口安全管理平台等多平台护航研发、测试、构建、部署、运营等产品全生命周期安全,保障各环节安全能力建设及安全要求达标,同时通过智能化安全态势感知和响应,结合威胁情报、资产纳管、应急响应,实现风险威胁的快速闭环响应。

4.4. 默安科技

默安科技打造了以理论知识为基础、安全检测能力为支撑、安全业务流程为手段的全生命周期DevSecOps解决方案。

默安科技在DevSecOps建设中采用"漏洞反哺安全开发流程"理念,即当发现新的应用漏洞或风险后,企业内部反思各个阶段(哪个阶段出现遗漏?如何避免再次发生?),同时,强化对开发人员的相关培训。

5. 未来趋势

  • 自动化和智能化:随着人工智能和机器学习技术的发展,DevSecOps 将更加依赖自动化工具和智能分析,以提高安全检查的效率和准确性。
  • 持续集成与持续部署(CI/CD)的优化:CI/CD 流程将进一步优化,实现更快、更频繁的软件交付,同时保持安全标准的遵守。
  • 跨职能团队的协作:DevSecOps 强调跨职能团队的紧密合作,未来团队成员将更加注重安全意识的培养和技能的提升,形成更加高效、协作的开发环境。
  • 合规性和隐私保护:随着全球数据保护法规的加强,如 GDPR、CCPA 等,DevSecOps 将更加注重合规性和隐私保护,确保软件开发和部署符合相关法律法规的要求。

6. 写在最后

综上所述,DevSecOps 通过将安全融入开发、运维的全过程,旨在提高软件系统的安全性、可靠性和效率,其发展背景、现状及未来趋势均显示出其在现代软件开发中的重要性和必要性。相信在最近几年,GPT的快速发展会打通DevSecOps全面落地的最后一公里!

参考文档

报告文件清单

若对以上DevSecOps相关技术文档感兴趣,可以关注下方博主微信公众号,并发消息『20240818』领取。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网