■ 河南 崔贤

编者按：尽管DevSecOps 近年来持续火热，但真正实现其有效落地的企业并不多见，原因是企业对安全性的看法仍旧未能脱离传统思维。本文探讨实现该目标的4 个建议。

尽管近年来关于DevSecOps热度越来越高，但是实际上很多企业在开发软件时，安全性仍然是事后的想法。Verizon 威胁报告指出，Web攻击已加倍增长，同时基于云的数据也在遭受严重的网络攻击。2019 年Web 应用安全漏洞的激增进一步说明了我们距离实现DevSecOps 的愿景还有很长的路要走。

由于对数字服务的迫切性，很多企业仍然专注于软件发布的速度，而不是服务的质量。为了更好地实现数字化转型，企业应意识到安全性必须成为软件开发的基本组成部分。

为了实现DevSecOps，企业需要更快地开发代码并识别漏洞。否则，通过DevOps开发出的只是具有漏洞的软件而已。

那么，企业如何才能使DevSecOps 更好地落地呢？这要求将安全性嵌入软件开发过程的各个方面，而不是将安全作为附属品。以下是有关如何实现这一目标的4个建议。

安全需要在SDLC 中实现更早的转换

安全必须成为软件开发生命周期（SDLC）每个阶段的一部分。产品经理需要确保需求、指令和用户案例具有安全验收标准。技术架构师需要确保从安全角度（最好由安全专家）对设计进行审查。项目经理和流程主管需要确保将安全性纳入预算范围。完成标准（Definitionof-Done）需要包括安全性标准，并且必须检查SDLC 的每个部分并确保考虑到安全性。

为此，企业需要从软件交付速度转向对质量的关注。很多团队仅根据速度和上市时间来衡量成功，这是非常狭隘的。企业需要具备确保质量的安全措施。如果开发人员仍不愿意考虑安全性，那么就必须提醒他们考虑其提供的代码的质量。在一味的关注速度的当下，经常出现发布的软件不稳定，并且出现大量漏洞的情况。近期出现的Zoom 软件安全性问题就是一个急于提供创新服务而又未充分考虑安全漏洞的例子。

整体安全的细分

安全是一个非常广泛的领域，涉及各种领域的安全性问题，如身份验证、访问控制、机密性、完整性及不可否认性等。从复杂的威胁种类到简单地确保员工的隐私保护，以及保护企业数据免受网络犯罪分子的攻击，都是安全问题。单一的方法可能无法解决安全的所有方面，尽管无法有效地做到这一点，但这也是大多数安全团队为之努力的目标。

取而代之的是，安全团队需要将整体的安全问题分解为以用户为中心的安全细分问题。例如，在对客户的数据保护方面，以确保客户仅能访问其权限之内的功能，还需要定义要防御的威胁模型（即攻击类型）——如果需要防护的是公司某一机密文件，那么主要的防御威胁就是密码安全问题而非DDoS 攻击。

以不同方式解决不同的细分安全问题

对安全的一个误解是，只有少数安全专家才能从事安全工作。当前，在设计体系结构过程中，在考虑保护分布式系统中的数据免受高级攻击者攻击时，这是正确的。但是，如果您只是想确保系统更新没有破坏现有的身份验证机制，或者身份验证没有被不起眼的小脚本破坏，那就不一定了。

在对整体安全性进行细分后，您可以开始以不同方式解决这些不同方面的安全问题。例如，可以使用标准的静态和动态分析工具解决大量威胁类型。当然，这些工具并不会修复有缺陷的体系结构，也无法阻止来自高级攻击者的攻击，但它们应该能够处理90%以上的威胁。

这是在整个SDLC 中嵌入安全性的关键，因为这意味着您不需要大量的安全专家，因为大多数安全问题都可以通过工具、开发人员和测试人员来解决。您只需要安全专家对体系结构进行安全审查和定期审核即可。

安全是每个人的责任

一旦打破了“安全”的概念，让每个人都参与进安全中来就变得容易得多了，因为并不需要将每个人都成为安全专家，只需学习足够的知识即可应对90%以上的威胁。

当然，企业仍然需要培训团队以了解需要防范什么样的威胁类型，怎样的整体安全体系结构。通过将其分解为威胁和技术，该培训比通用的安全培训有用得多，并且将有助于确保企业的应用安全。

通过以上这4 个建议，我们相信任何企业都可以实现可靠的安全级别，并开始使DevSecOps 成为现实。如果企业在开发软件时仍不重新考虑如何实施安全性，那么基于Web 漏洞的数量将会持续增加。