DevSecOps作為安全領(lǐng)域中逐漸步入成熟期的技術(shù)體系,本質(zhì)上承繼了安全開發(fā)生命周期(SDL)安全關(guān)口左移的理念,DevSecOps總結(jié)起來就是:能力集成,持續(xù)學(xué)習(xí),文化融合。其中“融合”這一理念也體現(xiàn)在了今年RSAC DevSecOps day的主題上-“DevOps Connect”,通過CI/CD(持續(xù)集成/持續(xù)交付)并有效度量,實(shí)現(xiàn)效率提升。
本屆會議上,文化融合和沖突成為了演講者聚焦的重點(diǎn)話題,比如紅隊(duì)文化和開發(fā)人員之間的沖突,技術(shù)人員和非技術(shù)人員的沖突(包括HR等職能部門)、管理者和被管理者的沖突等。以紅隊(duì)與開發(fā)者的沖突場景來舉例:紅隊(duì)習(xí)慣制造“驚喜”(提出高危漏洞,但不提供解決方案)、獲取“機(jī)密”(用紅隊(duì)做掩護(hù)而獲取隱私數(shù)據(jù)),而這些都不被開發(fā)人員以及組織所輕易接受。
文化沖突的體現(xiàn)
大量從業(yè)者意識到DevSecOps實(shí)施過程帶來的文化沖突,并嘗試解決這個問題,重要手段之一就是文化轉(zhuǎn)型。為此,Larry Maccherone在會議中提出了Dev[Sec]Ops宣言:
l 建立安全而不僅僅是依賴安全;
l 依賴賦能的工程團(tuán)隊(duì)而不僅僅是安全專家
l 安全的實(shí)現(xiàn)功能而不僅僅是安全功能
l 持續(xù)學(xué)習(xí)而不是閉門造車
l 采用一些專用或常用的實(shí)踐而不是“偽”全面的措施
l 以文化變革為基礎(chǔ)而不僅僅依賴規(guī)章制度
文化的建立和轉(zhuǎn)型不僅要運(yùn)用培訓(xùn)宣貫、會議溝通這類手段,還需要對組織的重新設(shè)計(jì),比如建立“擰麻花”式的開放式組織,將安全人員融入每一個開發(fā)團(tuán)隊(duì),而不是建立封閉的部門。這種方式,使得掌握安全能力的人員深入業(yè)務(wù)、開發(fā)、運(yùn)維等各個領(lǐng)域,讓DevSecOps真正創(chuàng)造價(jià)值,避免成為效率瓶頸。
解決沖突的過程同樣離不開自動化和度量。借用演講者的一句話:“將一切簡單的東西自動化,將精力聚焦在復(fù)雜的事情上” ;谶@一原則,提升“簡單領(lǐng)域”的自動化和集成程度,聚焦在業(yè)務(wù)領(lǐng)域的復(fù)雜問題上(業(yè)務(wù)領(lǐng)域知識、組織、管控流程),企業(yè)可逐步建立并實(shí)現(xiàn)DevSecOps領(lǐng)域的實(shí)施路線圖和里程碑。
本屆會議上,可以看到度量機(jī)制被實(shí)踐DevSecOps的組織以及演講者廣泛應(yīng)用。度量機(jī)制的好處就是效率提升可以量化,用數(shù)字說話,這是減少沖突的一種有效方式。關(guān)于DevSecops的實(shí)施路線和度量理念,Larry Maccherone提出9個實(shí)踐關(guān)鍵點(diǎn)和文化接受度的7個階段。
9個實(shí)踐關(guān)鍵點(diǎn)包括:
l 安全意識
l 安全編碼
l 威脅建模
l 第三方導(dǎo)入代碼分析
l 代碼編寫分析
l 團(tuán)隊(duì)合作協(xié)議
l 高危脆弱性清理
l 同業(yè)人員評審
l 安全評估
DevSecOps的9個關(guān)鍵實(shí)踐
通過對9個關(guān)鍵實(shí)踐進(jìn)行分為7個階段的度量標(biāo)注,運(yùn)用不同顏色直觀展示DecSecOps在組織中的實(shí)踐和接受程度,使企業(yè)對其安全開發(fā)能力和發(fā)展?fàn)顟B(tài)有了全景認(rèn)識,為后續(xù)持續(xù)和深度的改進(jìn)打造良好的基礎(chǔ)。
從抵制到文化融入的7個階段
綠盟科技安全服務(wù)團(tuán)隊(duì)經(jīng)過在金融、企業(yè)、運(yùn)營商等行業(yè)的多年實(shí)踐,總結(jié)形成了基于DevSecOps進(jìn)行組織安全開發(fā)能力提升的5個關(guān)鍵成功要素,即
l 安全開發(fā)管控流程
l 安全開發(fā)知識庫及工具
l 安全人員組織
l 度量與評價(jià)指標(biāo)
l 持續(xù)優(yōu)化
圍繞上述要素,綠盟科技安全服務(wù)團(tuán)隊(duì)設(shè)計(jì)了基于SDL和DevSecOps的安全開發(fā)能力提升服務(wù)方法論和整體框架,并構(gòu)建安全開發(fā)能力平臺輔助安全服務(wù)的實(shí)施過程,通過基于服務(wù)能力的平臺產(chǎn)品實(shí)現(xiàn)對實(shí)施過程中各類安全開發(fā)資源的集成與管控:
l Jenkins、Gitlab等DevOps工具鏈的集成
l 6種代碼安全審計(jì)工具以及超過3000條規(guī)則的定制與梳理;
l 專家級知識庫
n 基于威脅建模的威脅庫
n 900條+,針對4大類應(yīng)用安全、通信安全、系統(tǒng)部署運(yùn)維安全、典型業(yè)務(wù)場景安全的安全需求庫
n 覆蓋82個場景,540個安全設(shè)計(jì)的安全設(shè)計(jì)庫
借助安全開發(fā)能力平臺可以程度上將安全開發(fā)的管控時間點(diǎn)左移,從而在持續(xù)集成階段即解決代碼安全問題,并通過專家級知識庫的構(gòu)建,降低了組織對于無論是“Dev”、“Sec”或者“Ops“人員的安全能力要求,并通過綠盟科技具有豐富的全行業(yè)項(xiàng)目經(jīng)驗(yàn)的安全服務(wù)顧問進(jìn)行全程現(xiàn)場輔導(dǎo),協(xié)助企業(yè)完成跨部門的安全文化構(gòu)建和流程打穿,最終實(shí)現(xiàn)安全開發(fā)工作的全程閉環(huán)。
關(guān)于DecSecOps社區(qū)
由DecSecOps社區(qū)組織的2019年的RSAC DevSecOps day 的活動熱度超出預(yù)期,同樣對比CSA社區(qū)的熱度已經(jīng)明顯下降,其推出的讀物以及海報(bào)均下載,是了解DevSecOps技術(shù)和文化的重要窗口。會議現(xiàn)場DevSecOp社區(qū)通過對負(fù)責(zé)“造輪子”的安全廠商與注重實(shí)踐經(jīng)驗(yàn)分享的第一方進(jìn)行空間上的分割,也一定體現(xiàn)了DecSecOps社區(qū)的業(yè)界生態(tài)理念。相信在下一屆的DevSecOps上會看到ShiftLeft等創(chuàng)新沙盒中異軍突起廠商的加入。
免責(zé)聲明:本文僅代表作者個人觀點(diǎn),與每日科技網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
本網(wǎng)站有部分內(nèi)容均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé),若因作品內(nèi)容、知識產(chǎn)權(quán)、版權(quán)和其他問題,請及時提供相關(guān)證明等材料并與我們聯(lián)系,本網(wǎng)站將在規(guī)定時間內(nèi)給予刪除等相關(guān)處理.
精彩推薦
-
采購拿回扣問題,教你一個小妙招,看看怎么做!
2017-09-18 11:09 廣告 閱讀
-
苦逼的老板,教你一個小妙招,怎么防采購拿回扣!
2017-09-18 11:09 廣告 閱讀
-
傳播易推出商機(jī)寶“客戶推薦”功能 今天正式上
2021-01-05 17:10:46 更新 閱讀
-
尖貨爆料!速來【數(shù)碼預(yù)爆臺】領(lǐng)取618福利和AI新
2024-06-21 18:33:22 更新 閱讀
-
喜獲國際設(shè)計(jì)大獎丨十字勛章減重大師Pro商務(wù)背包
2024-06-12 14:04:28 更新 閱讀
-
Baseus倍思音頻品鑒會:一場產(chǎn)品與技術(shù)的對話
2024-05-29 11:13:32 更新 閱讀
-
212攜手極致軍工品質(zhì),煥新出發(fā)
2024-05-22 21:16:00 更新 閱讀
-
第四屆全球應(yīng)用算法BPAA大賽再度升級,增添三大
2024-05-17 17:55:36 更新 閱讀
-
三維天地助力實(shí)驗(yàn)室質(zhì)量管理工作無紙化、流程化
2024-05-09 15:35:04 更新 閱讀