DevSecOps很難做到正確，但是它變得越來越重要。如果公司要將安全性集成到DevOps中，我們將克服所有公司需要記住的挑戰(zhàn)，關(guān)鍵見解以及Gartner的十大事項(xiàng)。

DevSecOps可能是一長(zhǎng)串技術(shù)流行語中的最新詞，但這實(shí)際上是在結(jié)合不同的生產(chǎn)和運(yùn)營(yíng)領(lǐng)域的同時(shí)推廣安全技術(shù)實(shí)踐的相當(dāng)實(shí)用的方法。但是要進(jìn)入DevSecOps思維定勢(shì)，就需要認(rèn)真的協(xié)作，以更好地改變流程和技術(shù)。

隨著DevSecOps迅速成為組織的首選方法，花一點(diǎn)時(shí)間并確保一切都朝著正確的方向發(fā)展變得更加重要。

基于技術(shù)的研究公司Gartner表示，將安全性集成到DevOps中需要改變觀念和實(shí)踐。協(xié)作是使“ DevSecOps中的秒保持安靜”的關(guān)鍵。

DevSecOps面臨的挑戰(zhàn)

信息安全不是很性感。抱歉。事實(shí)并非如此。擁有新IT功能的新產(chǎn)品帶來了財(cái)富，而不是確保所有Java庫(kù)依賴項(xiàng)都是最新的。這意味著在災(zāi)難襲來之前，漏洞通常被忽略。

在開發(fā)過程中，安全性充其量通常是事后的想法。但是，無論用戶是否使用DevOps，組織和企業(yè)都有責(zé)任為其用戶創(chuàng)建安全且相關(guān)的應(yīng)用程序。

話雖這么說，但如果組織要將Sec完全集成到DevOps中，則信息安全性應(yīng)適合DevOps流程和工具。同樣，完美的安全性也不能追求阻礙數(shù)字業(yè)務(wù)的目的。

推薦建議

那么，DevOps組織應(yīng)該做什么？在安全性與速度之間取得平衡是難以克服的難題。說起來容易做起來難，但是這些建議大多數(shù)都是常識(shí)。

• 將安全性和合規(guī)性測(cè)試集成到DevOps中。如果您這樣做是為了使開發(fā)人員無需離開CI / CD工具鏈就可以管理數(shù)據(jù)安全性，那么您就消除了確保數(shù)據(jù)安全性的主要障礙。

• 了解您的組件來自哪里！如果它是開源的，請(qǐng)檢查是否存在漏洞和配置錯(cuò)誤。

• 對(duì)新工具和方法持開放態(tài)度。

• 通過安全冠軍模型將您的Infosec團(tuán)隊(duì)擴(kuò)展到DevOps。

• 以與源代碼相同的保證水平測(cè)試自動(dòng)化腳本，模板，圖像和藍(lán)圖。保持一定的保證水平并堅(jiān)持下去！只是不要對(duì)此太瘋狂，完美是一個(gè)神話。

十大技巧

聽起來一切都很好。但是它在地面上如何運(yùn)作？如果您試圖將Sec放入DevSecOps中，則并非一帆風(fēng)順。還是？同樣，這些技巧很多似乎都是常識(shí)。您會(huì)驚訝地發(fā)現(xiàn)有很多人有時(shí)忘記了基礎(chǔ)知識(shí)。

1. 不要試圖將圓釘固定在方孔中。使您的測(cè)試工具適應(yīng)您的開發(fā)團(tuán)隊(duì)。使開發(fā)人員可以輕松使用安全測(cè)試工具。如果這既困難又痛苦，那么無論目標(biāo)是什么，都不會(huì)竭盡所能。如果Sec正確實(shí)現(xiàn)，則在該過程中將不可見。

2. 完美是善良的敵人。退出嘗試消除測(cè)試期間的每個(gè)安全漏洞。您不是完美的，這基本上是不可能的。我們不建議您完全忽略安全性；只需接受可能存在一些最小的安全漏洞并繼續(xù)前進(jìn)即可。

3. 分憂。專注于大事，然后逐步處理重要的安全漏洞列表。這應(yīng)該是不言自明的。

4. 您的自定義代碼也不是完美的。所有應(yīng)用程序都有一定數(shù)量的自定義代碼。這意味著很難發(fā)現(xiàn)這些漏洞。您應(yīng)該期望會(huì)有一些變化。抱歉。

5. 您的開發(fā)人員不是安全專家，沒關(guān)系。顯然，對(duì)開發(fā)人員的基本安全培訓(xùn)非常重要和必要。話雖如此，您不能指望他們?cè)跒槠?天的培訓(xùn)課程和一些PowerPoint的基礎(chǔ)上成為網(wǎng)絡(luò)安全專家。無論如何，此基礎(chǔ)培訓(xùn)應(yīng)減輕一定數(shù)量的用戶錯(cuò)誤。

6. 我需要一個(gè)英雄。安全冠軍意味著每個(gè)組織都有一個(gè)人，誰知道安全性。如果提名幾個(gè)人擔(dān)任安全支持者的角色，則可以在整個(gè)組織中闡明標(biāo)準(zhǔn)和要求。

7. 不要使用粗略的來源。同樣，這應(yīng)該是不言自明的。嘗試從一開始就盡量減少使用易受攻擊的組件。您的開發(fā)人員應(yīng)該更了解。

8. 如果基礎(chǔ)生銹了，不要大驚小怪。基礎(chǔ)設(shè)施很重要。必須確保源代碼控件也適用于基礎(chǔ)架構(gòu)。

9. 保持清晰的記錄和一致的代碼。與往常一樣，文檔是關(guān)鍵。最好知道是誰更改了內(nèi)容，以便您可以修復(fù)錯(cuò)誤并確保所有迭代的一致性。

10. 鎖定基礎(chǔ)架構(gòu)。生產(chǎn)后，任何人都絕對(duì)不能改變基礎(chǔ)架構(gòu)。這樣會(huì)導(dǎo)致瘋狂和系統(tǒng)錯(cuò)誤。相反，對(duì)基礎(chǔ)架構(gòu)的所有更改都發(fā)生在開發(fā)中。如果某事著火了，那么可以回滾那些最新的更改。

將安全性集成到DevOps中并不是最簡(jiǎn)單的方法，但這無疑是值得的。而且，如果遇到麻煩，請(qǐng)記住保持冷靜并編寫代碼。