2022年10月13日 第895期

DevSecOps破局,纵深一体化安全研运让价值高效流动

时间:2022-10-13 10:04:40  来源:网络

    【前言】

   继IT组织纷纷转向敏捷研发与DevOps模式,如何在快速交付的同时,保障安全交付成为业内广泛关注的焦点。DevSecOps应运而生。

   那么,传统敏捷研发模式究竟存在什么弊端?DevOps遗留了哪些问题?DevSecOps有何特点?行业的实践情况如何?IT团队选型时应该如何考虑?

   本文将对以上问题进行解析,并以部分实例加以说明。

   一、传统敏捷研发的弊端

   随着云计算、微服务和容器技术的快速普及,许多企业及IT团队的交付模式迎来了巨大的变迁,由传统的瀑布式开发和一次性全量交付逐渐过渡为敏捷研发,来跟上业务及商业化需求。

   然而,传统的敏捷研发模式存在诸多问题:安全责任过度依赖于有限的安全资源、安全团队在上线前介入、安全活动与研运流程严重割裂、系统安全问题暴露滞后等,非但不能有效地进行安全防护,还会影响交付速度。如何在更短的研发周期内,快速实现业务价值,同时保障质量、安全、交付速度的平衡,是传统敏捷研发模式面临的重要挑战。

   此外,传统的敏捷研发模式中,需求、设计、研发、测试、运维等角色,工作流程彼此隔离,存在数据与信息孤岛,研运全场景数据收集困难,管理角色无法通过度量分析及时发现进度与质量的风险,更难以追踪溯源进而驱动产研持续改进。

   二、DevOps的实践情况

   研发与运营逐步走向一体化的大环境下,设计与执行仍基于敏捷研发框架之下的DevOps,以其一定程度上加速了软件部署与迭代效率的优势,获得不少企业的认可与关注。

   在DevOps流程中,研发人员往往通过应用和编排开源工具,以加速开发与部署节奏。但该模式依赖于过多的脚本维护与人工跟进,可扩展性差,自由编排能力弱,软件供应链安全风险极高。

   因此,如何保障业务及系统安全、如何提高流水线的执行效率成为DevOps面临的最大瓶颈。

   三、DevSecOps的演进与行业痛点

   1.DevSecOps的诞生与发展

   针对以上困境,2012年由Gartnert提出的DevSecOps概念,强调安全左移,让安全贯穿于业务生命周期的每个环节,并成为IT组织架构内所有成员的责任。发展至今,业界关于DevSecOps的呼声日益高涨,它是对自动化能力不足、充满安全瓶颈的敏捷开发模式的关键响应,从源头上补齐了DevOps体系缺失的安全能力。

   因此,近年来,越来越多的政企纷纷加入到实践行列。显然,DevSecOps的起源、演进发展及广泛使用,足以见得市场已对安全研运提出更高标准。

   那么,DevSecOps业内,已落地的前沿创新及解决方案,是否能够应对云原生、微服务、容器等新兴技术带来的开源漏洞?安全检测工具是否准确、易用、高效?是否打破数据孤岛,是否实现真正的项目或团队协同?度量分析是否提供智能决策,是否真正驱动产研保质增效?

   2. DevSecOps实践痛点:工具单一、能力不足、体系缺失

   我们带着以上疑问,对DevSecOps业内已落地的实践进行了系统性分析。

   诚然,DevSecOps的出现与实践,正在帮助我们找寻速度与安全的平衡点,它的体系已日趋成熟,方法论、技术与实践经验均有明显提升。

   但目前的DevSecOps实践,普遍过多地关注在CI/CD流水线相关的安全工具集成与应用上,且大多只集成了SAST工具,做单一源代码检测,这种情况下不但工具与流程是不易集中管理与调整,安全测试无法紧跟快速迭代的步伐,严重拖垮交付节奏,而且缺乏SCA、IAST及模糊测试等能力,来为流程中其他阶段进行更多维度的安全检测。

   于此同时,我们忽视了一个重要信息,该种单点防御的方式,即使编排了准确高效的安全检测工具,也只局限于发现研发阶段的漏洞,但是,漏洞往往并非只发生于开发编码阶段。

   “越早发现漏洞,修复成本越低”已然是我们的共识,因此,我们在DevSecOps的实施过程中,应该建立完善的风险评估体系,在设计、架构阶段就介入安全需求,让安全任务更为彻底地实现左移,从源头上避免漏洞的产生。

   3. 打破流程闭锁,纵深安全研运体系让价值流动

   随着交付规模不断扩大、交付速度要求越来越高,如何在保障交付速度的前提下,确保研发质量与安全质量的一致性,仍是管理角色关注的重点。在此背景下,需要构建一套纵深安全研运管理体系,打破流程闭锁,实现产品、研发、运维一体化管理,提高自动化能力,减弱对人工的依赖,以可视化、智能化驱动安全研运。以智能的研发效能分析为主要任务,实现交付效率、交付质量、交付能力的可视、溯源与追踪,通过精准的分析模型,驱动管理者持续改进产研效率,助力企业向市场快速交付更多的业务价值。

   四、纵深一体化安全研运管理平台:让价值与流程高效联动

   纵观DevSecOps市场,当前研发效能普遍停留在简单度量指标的展示,度量模型建设及智能决策能力还有待提高。鉴于如此,我们梳理了来自不同行业中诸多客户的DevSecOps落地案例,总结了集安全技术能力、超前的DevSecOps组织与文化理念、完备的安全服务于一体的实践方法,一方面,助力投资方与创新实践者对齐行业认知,另一方面,帮助政企IT团队精准选型,避免踩坑,顺利完成安全研运一体化的DevSecOps的转型与落地。

   我们通过打造研运全流程的纵深一体化安全研运管理平台,帮助客户打破信息与数据隔离,采用了基于数据挖掘与人工智能技术,收集多场景、全流程的数据,搭建了领先于行业的智慧效能度量体系,帮助企业快速找到研运低效率、低质量的根源,进而通过BI决策模型辅助团队快速交付。让企业更高效、更可靠地,向市场持续交付高质量的业务价值。

   在具体实践中,纵深一体化安全研运管理平台,在需求设计阶段通过S-SDLC威胁建模,针对每个具体需求,在产研各个环节中,植入由安全专家发起的安全需求。

   一方面,提高了产研团队的安全防范意识,从源头减少了漏洞产生。另一方面,我们长期坚持“授人以鱼不如授人以渔“的理念”,以赋能形式整体上提高客户团队的安全研发能力,帮助客户降低对安全团队的依赖,使市场实现“研运普惠安全”。

   在研发编码阶段,我们融合多种拥有自主知识产权的国产化工具,例如静态代码扫描(SAST)、交互式应用安全检测(IAST)、软件成分分析(SCA)、模糊测试(FUZZ)、动态应用安全测试(DAST)等工具,帮助客户实现了更低的MTTD(平均检测时间),有效地将安全风险阻隔于上线前。并且,通过对迭代、任务、缺陷、里程碑等细粒度的记录与数据分析,实现了对研发流程的精细化管理。此外,采用了领先业内的平均交付时间、需求流负载、缺陷逃逸率等关键度量指标,以及基于大数据和AI技术的智能度量模型,落地了一套全流程的安全研运效能度量方法。

   事实上对于客户而言,快速、准确地检测出问题仅仅是第一步,如何对安全问题做出快速响应更为重要。鉴于此,在上线及运营阶段,我们通过建立完整的安全响应机制,有效地帮助客户降低了MTTR(平均响应时间)。

   此外,纵深一体化安全研运管理平台配备基于数智融和的安全态势感知数字大屏,辅助客户实现了对安全风险的预防、持续监控、分析和快速响应。并在软件运行阶段,我们采用RASP安全防护技术,提供了隐藏漏洞的更多可见性,帮助政企有效应对运行时攻击。

   自DevSecOps理念诞生以来,业内一直处于探索演进过程中,我们专注于以更专业、更安全、更值得信赖的方式,为DevSecOps行业快速发展提供可靠的参考。

   五、未来展望

   随着数字化转型与等保升级,DevSecOps在中国市场呈现了快速增长的态势,开源网安坚信唯创新者胜,能够感知全盘的安全态势,并实现体系化纵深安全防御的研运一体化产品,将引领行业发展。
关于开源网安

   开源网安是中国软件安全行业创领者,竭诚与客户携手构建数字化时代的软件安全体系。经过近十载的研发与深耕,开源网安已将多项自有技术成果应用于各行业的数字化进程,引领中国软件安全的创新与发展。

   开源网安自诞生起便致力于打造自主核心技术,以捍卫中国软件安全为使命。我们逐年推出了多款具有完全自主知识产权的安全产品(SAST、IAST、SCA、Fuzz、RASP、DevSecOps等),填补了国内软件安全产品的空白, 完成了自有产品矩阵的构建, 更打破了国外技术的垄断。多年来我们积累了大量与世界500强企业的合作经验,业务覆盖政府、金融、能源、通信、汽车、物联网等多元化场景。期间我们曾助力多家中国大型企业通过海外软件安全标准的认证,成就大国品质出海。在这十年间,我们屡获国家权威认可,多次参与软件安全国家标准制定。

   未来,我们期待与客户并肩应对瞬息万变的数字化转型挑战,无论您来自任何行业,您都能在与开源网安的合作中获得领先的、跨维度的软件安全解决方案,实现“安全"数字化转型。