DevSecOps是當(dāng)今最熱門的話題之一，因此剛好是嶄新的，因此為了將其付諸實踐，我們需要更好地理解它。首先，我們需要邁出關(guān)鍵的第一步：整合自動化安全掃描。本文介紹了此過程的基本階段。

關(guān)于DevSecOps的典型敘述著重于人員和流程，常常強調(diào)需要改變個人與代碼開發(fā)的交互方式。在安全性介紹中向左轉(zhuǎn)（最容易發(fā)現(xiàn)問題）是明智之舉。但這只是答案的一部分。必須采用適當(dāng)?shù)募夹g(shù)以允許所需的自動化，否則，DevSecOps只是一個詞。

在這里，可以根據(jù)安全基準(zhǔn)自動評估代碼的能力成為實現(xiàn)真正的DevSecOps的重要第一步。到2019年，企業(yè)DevSecOps倡議超過70％將并入2016根據(jù)自動安全漏洞和配置掃描開源組件和商業(yè)包裝，從不到10％，Gartner的。

Gartner報告詳細(xì)介紹了在監(jiān)管情況下克服DevOps障礙的最佳策略。除了DevOps和InfoSec之間更緊密的協(xié)作之外，我們還發(fā)現(xiàn)了自動化測試，自動化部署，自動化工作流以及手動步驟的自動化。自動執(zhí)行安全掃描是自然而然的第一步，它將為每個新代碼開發(fā)奠定堅實的基礎(chǔ)。

組織需要能夠快速測試其安全策略，并確保它們滿足法規(guī)要求并采取正確的安全狀態(tài)。但是，這不應(yīng)該是一次性測試，對于PCI DSS之類的東西，一開始的100％遵從性是不夠的，必須對其進行維護。Verizon的2017年《支付安全報告》發(fā)現(xiàn)，PCI DSS合規(guī)性從2012年的11％躍升至2016年的55％，但幾乎有一半的公司在9個月內(nèi)退出合規(guī)性。為了避免這種風(fēng)險，必須將自動安全掃描永久納入該過程。幸運的是，這是完全可以實現(xiàn)的。

自動安全掃描是什么樣的？

下面描述的工作流程可以用作希望將自動化引入CI / CD流程的任何階段的團隊的模板。整個環(huán)境由CI / CD系統(tǒng)（在本例中為Jenkins）組成，Jenkins是API驅(qū)動的評估平臺，其中包含有關(guān)不同GET，POST和PUT命令的文檔；與該平臺通信的shell腳本，從而自動執(zhí)行安全性；對于這個示例，是Docker Hub。

工作流程如下：

1.開發(fā)人員通過CI / CD平臺啟動構(gòu)建。

2.作為構(gòu)建的一部分，有一個觸發(fā)器來調(diào)用腳本。這并不比添加其他構(gòu)建步驟困難。

3.現(xiàn)在轉(zhuǎn)到實際腳本，第一步是從存儲庫（在本例中為Docker Hub（docker.io））中提取所需的Docker映像。該腳本應(yīng)具有足夠的通用性，可以從任何公共或私有存儲庫中提取圖像。通過API調(diào)用，腳本將Docker映像推送到評估平臺。

4.下一步是選擇策略框架。在這里，我們選擇Docker Image Scanning，因為我們希望評估Docker映像，但是該腳本可用于處理其他類型的框架。例如，目標(biāo)可能是自動評估新虛擬實例的PCI安全狀態(tài)。在這種情況下，評估平臺會將PCI框架與新創(chuàng)建的服務(wù)器進行比較。

5.最后，腳本觸發(fā)實際評估。工作流圖的左側(cè)是此操作的API調(diào)用的代碼段。

6.平臺根據(jù)策略框架評估映像，然后生成風(fēng)險評分，在這種情況下為“ 80”。

7.腳本包含將這個分?jǐn)?shù)與開發(fā)人員設(shè)置的閾值進行比較的邏輯。

8.如果得分大于等于=“ 75”，則該圖像被認(rèn)為是安全的，并會自動升級到下一步。相反，如果圖像得分低于“ 75”，則認(rèn)為圖像不安全，并通知開發(fā)人員。

總體邏輯流程，API驅(qū)動的評估平臺和腳本共同構(gòu)成了安全自動化的得分。可以將其概括化以支持CI / CD流程中多個階段的其他安全測試和調(diào)用。

使DevOps自動化并因此啟用DevSecOps，需要人員，流程和技術(shù)的結(jié)合。通過自動代碼評估來標(biāo)記安全問題，以前缺少的組件-技術(shù)-不再是成功的空白。