隨著公司內(nèi)部DevOps的成熟，流程變得高效而快速，但安全性最終落到了一邊。在本文中，加里·史蒂文斯（Gary Stevens）解釋了為什么安全性滲透到DevOps中，以及DevSecOps的增長如何導(dǎo)致數(shù)據(jù)和安全性破壞率顯著下降。

隨著網(wǎng)絡(luò)安全性席卷全球，并且黑客以驚人的速度發(fā)展，防止數(shù)據(jù)泄露的愿望空前高漲。從統(tǒng)計(jì)數(shù)據(jù)可以看出，有24％的IT團(tuán)隊(duì)正在過渡其DevOps以納入文化安全轉(zhuǎn)移的統(tǒng)計(jì)數(shù)據(jù)。

這種自動化和變更過程被稱為DevSecOps，是DevOps文化的下一步。預(yù)計(jì)它將成為2019年最大的趨勢之一。

安全性滲透到DevOps的原因

安全是重中之重

在數(shù)字時(shí)代，安全性躍升至公司關(guān)注的最前沿。從Wannacry之類的病毒影響150個(gè)國家的100,000個(gè)組，到每月平均接收16封惡意電子郵件的平均用戶，顯然需要將安全意識轉(zhuǎn)變?yōu)楣镜暮诵膶?shí)踐。

沒有哪個(gè)行業(yè)比加密貨幣更了解這一點(diǎn)。Cointhumb通過一次黑客攻擊損失了3200萬美元的客戶貨幣。僅在2018年上半年，就有大約11億美元的加密貨幣被盜。

我們已經(jīng)看到公司不得不關(guān)閉網(wǎng)絡(luò)安全攻擊。2014年，Code Spaces遭受了大規(guī)模DDoS攻擊，并被匿名黑客勒索贖金-迫使他們關(guān)閉。

而且，如果外部威脅不會使您的公司倒閉，內(nèi)部威脅也可能會出現(xiàn)。平均每天，美國企業(yè)中發(fā)生2500起內(nèi)部安全漏洞。IT專家認(rèn)為這是可以預(yù)防的問題。

監(jiān)管

通用數(shù)據(jù)保護(hù)條例（GDPR）于2018年5月25日正式生效，隨之而來的是歐洲（以及全球）消費(fèi)者數(shù)據(jù)格局的廣泛變化。GDPR的兩個(gè)主要目標(biāo)是保護(hù)歐盟公民的數(shù)據(jù)隱私并重塑公司處理數(shù)據(jù)隱私和安全性的方式。

隨著新規(guī)定的出現(xiàn)，有機(jī)會在天文學(xué)水平上被罰款。谷歌在2019年初被判處5700萬美元罰款時(shí)被發(fā)現(xiàn)，F(xiàn)acebook目前正在接受違反GDPR的調(diào)查

日益嚴(yán)格的法規(guī)迫使公司在整個(gè)公司文化中整合安全流程，因此除了DevSecOps之外，DevOps毫無處可走。

DevOps更有效

一個(gè)EMA報(bào)告發(fā)現(xiàn)DevSecOps的主要優(yōu)點(diǎn)是比現(xiàn)有的安全協(xié)議和跨安全提高效率更好的投資回報(bào)率和IT流程。另一個(gè)好處是能夠更高程度地使用現(xiàn)有的云服務(wù)。云存儲比其他存儲更安全。

DevSecOps比起要執(zhí)行的任務(wù)列表更像是一種文化轉(zhuǎn)變。目的是提高安全性和生產(chǎn)率的整體質(zhì)量，而不是使用“附加”安全性方法。

在2018年，Logz.io進(jìn)行了一項(xiàng)調(diào)查，詢問IT公司有關(guān)其DevSecOps集成的信息。約有76％的人承認(rèn)不實(shí)踐DevSecOps或仍在實(shí)施該實(shí)踐。走向DevSecOps的最大障礙是知識

從該研究中，有71％的受訪者表示他們認(rèn)為自己對DevSecOps的實(shí)踐不了解。隨著安全自動化水平的提高和實(shí)踐的普及到足以提供易于使用的知識庫，這一數(shù)字有望減少。

《 2018 DevSecOps社區(qū)報(bào)告》驚人地揭示了我們開發(fā)人員的人性。錯(cuò)誤和錯(cuò)誤仍然像以往一樣普遍。該報(bào)告顯示，48％的開發(fā)人員實(shí)際上沒有時(shí)間從事安全工作，并且大多數(shù)人不愿從事安全工作。

CTO和經(jīng)理應(yīng)在設(shè)計(jì)和開發(fā)的早期階段分配時(shí)間，以朝著安全意識轉(zhuǎn)變的方向努力。對可以自動化的東西保持警惕也將有助于解決這個(gè)問題。通過使重復(fù)執(zhí)行的任務(wù)自動化，可以創(chuàng)建流程并創(chuàng)建便于審核的跟蹤。

幸運(yùn)的是，隨著安全問題的持續(xù)增長以及將安全性進(jìn)一步集成到DevOps流程中，將創(chuàng)建更多工具來自動執(zhí)行安全任務(wù)。

自動化工具

不必為了安全而犧牲自動化。如果您想深入了解DevSecOps可用的工具，請?jiān)贒evOpsCon上查看Christian Schneider的課程。以下是一些目前可將安全性納入您的開發(fā)過程的最佳工具：

• 連續(xù)性安全性：包括兩個(gè)模塊，有助于管理和測試產(chǎn)品的安全性。

• ThreatModeler：ThreatModeler具有一組儀表板，使每個(gè)人都可以接觸應(yīng)用程序安全性。

• Checkmarx：為開發(fā)人員和DevOps工程師提供解決方案，將安全代碼分析和測試納入開發(fā)流程。

• IMMUNIO：在公司的軟件內(nèi)部署代理，并嘗試查找可能的利用。

• Aqua Security：是一個(gè)安全平臺，專門研究容器化應(yīng)用程序及其基礎(chǔ)結(jié)構(gòu)。 

• Gauntlt：允許公司進(jìn)行可在部署和測試過程中使用的測試。

• CA VeraCode：旨在滿足安全人員和應(yīng)用程序開發(fā)人員的大多數(shù)需求。

其他簡單步驟

警覺

幸運(yùn)的是，有多個(gè)快速且相對簡單的步驟可以將安全性集成到您的流程中。團(tuán)隊(duì)成員應(yīng)該已經(jīng)在使用惡意軟件識別軟件，并且直到每個(gè)上網(wǎng)的人使用VPN的日子都在減少。全球已經(jīng)有超過四分之一的互聯(lián)網(wǎng)用戶部署了其保護(hù)性數(shù)據(jù)加密功能。由于91％的網(wǎng)絡(luò)攻擊都是通過簡單的電子郵件開始的，因此必須對非技術(shù)（和技術(shù)）團(tuán)隊(duì)成員進(jìn)行網(wǎng)絡(luò)釣魚和其他類型的社會工程學(xué)危害教育。

滲透測試

在攻擊發(fā)生之前進(jìn)行模擬可以很好地適合DevOps流程。這是在真正的黑客之前先暴露您的弱點(diǎn)，并揭示哪些安全領(lǐng)域需要改進(jìn)的做法。滲透測試團(tuán)隊(duì)的一個(gè)例子是Nick Ismail。在此測試中，以6,000名員工中的14名為幌子，將其鏈接發(fā)送到假網(wǎng)站。在14位員工中，有8位點(diǎn)擊了鏈接并輸入了他們的信息。失敗！

最后的想法

隨著公司內(nèi)部DevOps的成熟，流程變得高效而快速，但安全性最終落到了一邊。既然具有嚴(yán)重后果的數(shù)據(jù)泄露已迫使安全性成為關(guān)注的焦點(diǎn)，并且是一種緊急的，重點(diǎn)突出的演進(jìn)，訣竅是將其以允許敏捷開發(fā)仍然存在的方式將其合并到DevOps中。當(dāng)然，最終結(jié)果是DevSecOps的增長使數(shù)據(jù)和安全漏洞的發(fā)生率顯著下降。