DevSecOps最佳实践
时间:2022-03-06 17:52:01 | 来源:行业动态
时间:2022-03-06 17:52:01 来源:行业动态
在DevSecOps的规划与实施过程中,这几方面因素发挥着重要作用:
首先,安全编码实践。安全编码的重要意义,在于开发出对安全漏洞具有较高抵御能力的软件。而非安全的编码实践可能引发多种软件安全风险,例如泄露企业组织内的机密信息。因此,最重要的是保证开发人员拥有充分的技能储备,并积极在时间与成本投入方面给予支持。此外,企业还应建立并遵循编码标准,帮助开发人员们编写出更多高质量代码。
第二,拥抱自动化。与DevOps一样,自动化在DevSecOps中同样至关重要。为了在CI/CD环境中让安全保障速度与代码交付速度相匹配,安全也必须迈向自动化新时代。没有这一前提,大型企业组织根本无法有效保护开发者每天提交的大量代码版本。
对于自动化安全测试,我们必须做出万全的考虑。出于错误目的而选择了错误的自动化工具,反而可能带来巨大的危害。静态应用程序安全测试(SAST)工具目前被广泛应用于开发周期早期的持续检测与问题识别方案。只有匹配实际需求选择合适的安全自动化工具,产品的顺利交付才能真正得到有效保障。
第三,左移方法。左移测试方法的核心,是在周期之初就将安全性融入应用程序之内,而不再等待交付链最后阶段的到来。这种方式的主要优势在于加快潜在漏洞的识别速度并即刻加以解决。这种方法本身虽然好处多多,但也会带来不少隐患。左移方法的一大常见挑战,就是会暂时中断现有DevOps工作流程。这确实是个问题,但如果企业决意采用DevSecOps,那么左称方法从长远来看仍是一项不可或缺的最佳实践。
第四,人员、流程与技术。在DevSecOps的成功实施方面,人员、流程与技术可谓三位一体,缺一而不可。哪怕其他条件再完备,如果员工对文化革新不感兴趣,那么成熟有效的DevSecOps环境根本无从谈起。虽然说服高层管理团队接纳这样的重大转变可能困难重重,但因安全态势恶劣而频繁引发的重大数据泄露事件应该引起大家的高度重视。所以除了安全专家的引导之外,尽可能发展安全拥护者对于DevSecOps的良好运作同样至关重要。
任何流程都由多个环节组成,其中最重要的当然是工作流标准化与文档化。一般来说,企业组织内的各个团队需要执行不同的流程,而DevSecOps则需要团队共同商定统一流程、并通过协同执行加强开发周期中的安全水平。同时,技术能够帮助人们高效执行DevSecOps流程,其具体实践中涉及的常见技术包括自动化与配置管理、安全即代码、自动合规性扫描以及主机强化等等。
在线咨询
