如何在DevSecOps道路上快速、安全地抵達終點

數據安全問題，引發了一種全新的開發理念DevSecOps（開發安全運維）的應運而生。

本文作者：吳翔，上海鑒釋科技公司產品開發總監

近年來，移動互聯網的迅猛發展給人們帶去不少便利，在軟件安全領域內，一種名為敏捷開發的模式正悄然流行，而可打破業務隔離、提高效率的DevOps（開發運維）也受到了廣泛歡迎。DevOps是開發（Development）與運維（Operations）相結合的稱呼。在DevOps理念下，軟件開發人員和運維人員緊密合作，以促進軟件及應用更有效率的進行快速迭代。

然而，軟件開發周期的縮短也帶來了一些弊端。相比擁有更長開發周期，為確保軟件穩定性與安全性提供充足時間的傳統開發模式，敏捷開發模式由于軟件版本頻繁迭代，開發周期被壓縮，出現安全漏洞的可能性也就更大。

DevSecOps，將安全植入開發運維骨髓

據國家互聯網應急中心發布的《2019中國互聯網網絡安全報告》稱，國家信息安全漏洞共享平臺(CNVD)收錄的安全漏洞數量創下了歷史新高，同比上年增長14%，其中應用程序漏洞（56.2%）、Web應用漏洞（23.3%）和操作系統漏洞（10.3%）占比前三。

圖1: 2019 年 CNVD 收錄的安全漏洞占比按影響對象類型分類統計（來源：CNCERT/CC）

數據背后，無數教訓已讓眾多開發團隊和企業意識到了安全的重要性，以及安全問題所引發的災難性后果。一種全新的開發理念DevSecOps（開發安全運維），就這樣應運而生。開發團隊需要在軟件開發的整個生命周期內將Sec，即安全（Security）融入DevOps實踐。要在DevOps里嚴格地執行安全理念和活動，除了展開定期的安全培訓以外，還需要安全團隊進行攻防演練等。

要將DevSecOps這種新的組合工作模式付諸實踐，首先需要所有的團隊及成員都具備嚴謹的安全思維。然而DevSecOps在企業內部的落地往往會遇到阻力，一是高層領導不給予足夠的重視和支持，業務負責人也不鼓勵加強安全措施，二是DevOps實踐的初衷是加速開發流程，而加入安全監督環節則被認為與DevOps所追求的高速開發背道而馳。

如果將軟件產品開發生命周期比作一段道路，起點是需求分析，終點是產品交付。人們步行抵達終點，猶如采用傳統的軟件開發模式。而采用DevOps的敏捷模式，利用輔助工具產品及平臺，就好比坐上了一輛車，可以開車快速地抵達終點。但若車開太快且車速不可控，則很容易發生安全事故。我們需要的應當是具備精良速度控制機制和剎車系統的，安全可靠的載具。

AST，多行業應用安全漏洞檢測不可或缺

為了幫助企業提升產品研發效率和質量，同時實現DevOps和Sec兩個目標，可在軟件開發的初期便進行介入和預防，借助工具提升代碼安全檢測的效率。因此AST（應用程序安全漏洞測試）軟件成為了首要選擇。AST領域包含SAST（靜態測試）、DAST（動態測試）和IAST（交互式測試）這三類測試方法。

如果開發者能在左移測試（Shift-Left Testing），即在開發生命周期的初期使用SAST工具，則可以有效地提升代碼檢測的準確性和效率，極大地降低時間、資金、人力等資源的消耗。而市場對于SAST工具的核心要求便是掃描效率高、速度快、準確率高。鑒釋目前提供的SAST核心產品就可以有效融入軟件開發生命周期（SDLC）中，為DevSecOps實踐提供最大的幫助，鑒釋IAST產品的開發也正在快速進行中。

目前除了IT行業，許多傳統行業，例如金融、能源、工業、教育、醫療等都有軟件安全的需求， 此時AST類的工具就該上場了。但面對多場景的應用，安全團隊不應該一味照搬公式，而是應該像給軟件和代碼做診斷的醫生一般詳細地了解、分析應用的行業背景、需求、痛點以及未來計劃等。缺乏細致、持續溝通的解決方案只能解決一時之急，鑒釋立足于目前核心的SAST產品，細心打磨自主解決方案，提供更快速、高效、持續的響應，已經幫助多行業的開發團隊安全、快速的走完開發周期。

除了工具提供的輔助外，團隊上下對安全的重視程度也相當重要。Gitlab今年發布的第四次全球DevSecOps年度報告稱，安全團隊不再是“局外人”，開發和運維人員的跨團隊緊密合作達到了前所未有的程度。“安全”，則變成了團隊每個成員都應該秉持的理念。該報告數據顯示，近30%的受訪者認為團隊內的每個人都應當將軟件安全視作己任，而20%的受訪者認為開發人員也應挑起軟件安全的大梁，而不是只拘泥于開發。

圖2：Gitlab對于團隊內部安全責任分擔問題的調查結果

該調查結果無不標志著安全責任正從原來的安全運維團隊逐漸擴大至軟件開發團隊內的每個成員身上，開發人員和運維團隊之間的界限越來越模糊，即將Sec深深融入DevOps骨髓之中。

作者簡介

吳翔，上海鑒釋科技公司產品開發總監，主要負責內部DevOps流程管理、產品測試及客戶售后的技術支持和服務。

關于鑒釋

鑒釋的使命是通過創建簡單操作的工具來協助開發人員構建并調配安全可靠的代碼。鑒釋成立于2018年，由擁有數十年開發經驗的世界級軟件專家創辦，并在深圳、北京、上海和香港設立了辦事處。鑒釋提高了代碼的審計、評估和缺陷檢測的速度和準確性。我們通過使用高級靜態分析技術幫助客戶降低成本，提高生產力，并確保其軟件開發人員具備相應的能力以開發更好、更可靠的軟件。

最后，記得關注微信公眾號：鎂客網（im2maker），更多干貨在等你！