DevSecOps破局，縱深一體化安全研運讓價(jià)值高效流動(dòng)

　　【前言】

　　繼IT組織紛紛轉向敏捷研發(fā)與DevOps模式，如何在快速交付的同時(shí)，保障安全交付成為業(yè)內廣泛關(guān)注的焦點(diǎn)。DevSecOps應運而生。

　　那么，傳統敏捷研發(fā)模式究竟存在什么弊端？DevOps遺留了哪些問(wèn)題？DevSecOps有何特點(diǎn)？行業(yè)的實(shí)踐情況如何？IT團隊選型時(shí)應該如何考慮？

　　本文將對以上問(wèn)題進(jìn)行解析，并以部分實(shí)例加以說(shuō)明。

　　一、傳統敏捷研發(fā)的弊端

　　隨著(zhù)云計算、微服務(wù)和容器技術(shù)的快速普及，許多企業(yè)及IT團隊的交付模式迎來(lái)了巨大的變遷，由傳統的瀑布式開(kāi)發(fā)和一次性全量交付逐漸過(guò)渡為敏捷研發(fā)，來(lái)跟上業(yè)務(wù)及商業(yè)化需求。

　　然而，傳統的敏捷研發(fā)模式存在諸多問(wèn)題：安全責任過(guò)度依賴(lài)于有限的安全資源、安全團隊在上線(xiàn)前介入、安全活動(dòng)與研運流程嚴重割裂、系統安全問(wèn)題暴露滯后等，非但不能有效地進(jìn)行安全防護，還會(huì )影響交付速度。如何在更短的研發(fā)周期內，快速實(shí)現業(yè)務(wù)價(jià)值，同時(shí)保障質(zhì)量、安全、交付速度的平衡，是傳統敏捷研發(fā)模式面臨的重要挑戰。

　　此外，傳統的敏捷研發(fā)模式中，需求、設計、研發(fā)、測試、運維等角色，工作流程彼此隔離，存在數據與信息孤島，研運全場(chǎng)景數據收集困難，管理角色無(wú)法通過(guò)度量分析及時(shí)發(fā)現進(jìn)度與質(zhì)量的風(fēng)險，更難以追蹤溯源進(jìn)而驅動(dòng)產(chǎn)研持續改進(jìn)。

　　二、DevOps的實(shí)踐情況

　　研發(fā)與運營(yíng)逐步走向一體化的大環(huán)境下，設計與執行仍基于敏捷研發(fā)框架之下的DevOps，以其一定程度上加速了軟件部署與迭代效率的優(yōu)勢，獲得不少企業(yè)的認可與關(guān)注。

　　在DevOps流程中，研發(fā)人員往往通過(guò)應用和編排開(kāi)源工具，以加速開(kāi)發(fā)與部署節奏。但該模式依賴(lài)于過(guò)多的腳本維護與人工跟進(jìn)，可擴展性差，自由編排能力弱，軟件供應鏈安全風(fēng)險極高。

　　因此，如何保障業(yè)務(wù)及系統安全、如何提高流水線(xiàn)的執行效率成為DevOps面臨的最大瓶頸。

　　三、DevSecOps的演進(jìn)與行業(yè)痛點(diǎn)

　　  1.DevSecOps的誕生與發(fā)展

　　針對以上困境，2012年由Gartnert提出的DevSecOps概念，強調安全左移，讓安全貫穿于業(yè)務(wù)生命周期的每個(gè)環(huán)節，并成為IT組織架構內所有成員的責任。發(fā)展至今，業(yè)界關(guān)于DevSecOps的呼聲日益高漲，它是對自動(dòng)化能力不足、充滿(mǎn)安全瓶頸的敏捷開(kāi)發(fā)模式的關(guān)鍵響應，從源頭上補齊了DevOps體系缺失的安全能力。

　　因此，近年來(lái)，越來(lái)越多的政企紛紛加入到實(shí)踐行列。顯然，DevSecOps的起源、演進(jìn)發(fā)展及廣泛使用，足以見(jiàn)得市場(chǎng)已對安全研運提出更高標準。

　　那么，DevSecOps業(yè)內，已落地的前沿創(chuàng )新及解決方案，是否能夠應對云原生、微服務(wù)、容器等新興技術(shù)帶來(lái)的開(kāi)源漏洞？安全檢測工具是否準確、易用、高效？是否打破數據孤島，是否實(shí)現真正的項目或團隊協(xié)同？度量分析是否提供智能決策，是否真正驅動(dòng)產(chǎn)研保質(zhì)增效？

　　2. DevSecOps實(shí)踐痛點(diǎn)：工具單一、能力不足、體系缺失

　　我們帶著(zhù)以上疑問(wèn)，對DevSecOps業(yè)內已落地的實(shí)踐進(jìn)行了系統性分析。

　　誠然，DevSecOps的出現與實(shí)踐，正在幫助我們找尋速度與安全的平衡點(diǎn)，它的體系已日趨成熟，方法論、技術(shù)與實(shí)踐經(jīng)驗均有明顯提升。

　　但目前的DevSecOps實(shí)踐，普遍過(guò)多地關(guān)注在CI/CD流水線(xiàn)相關(guān)的安全工具集成與應用上，且大多只集成了SAST工具，做單一源代碼檢測，這種情況下不但工具與流程是不易集中管理與調整，安全測試無(wú)法緊跟快速迭代的步伐，嚴重拖垮交付節奏，而且缺乏SCA、IAST及模糊測試等能力，來(lái)為流程中其他階段進(jìn)行更多維度的安全檢測。

　　于此同時(shí)，我們忽視了一個(gè)重要信息，該種單點(diǎn)防御的方式，即使編排了準確高效的安全檢測工具，也只局限于發(fā)現研發(fā)階段的漏洞，但是，漏洞往往并非只發(fā)生于開(kāi)發(fā)編碼階段。

　　“越早發(fā)現漏洞，修復成本越低”已然是我們的共識，因此，我們在DevSecOps的實(shí)施過(guò)程中，應該建立完善的風(fēng)險評估體系，在設計、架構階段就介入安全需求，讓安全任務(wù)更為徹底地實(shí)現左移，從源頭上避免漏洞的產(chǎn)生。

　　3. 打破流程閉鎖，縱深安全研運體系讓價(jià)值流動(dòng)

　　隨著(zhù)交付規模不斷擴大、交付速度要求越來(lái)越高，如何在保障交付速度的前提下，確保研發(fā)質(zhì)量與安全質(zhì)量的一致性，仍是管理角色關(guān)注的重點(diǎn)。在此背景下，需要構建一套縱深安全研運管理體系，打破流程閉鎖，實(shí)現產(chǎn)品、研發(fā)、運維一體化管理，提高自動(dòng)化能力，減弱對人工的依賴(lài)，以可視化、智能化驅動(dòng)安全研運。以智能的研發(fā)效能分析為主要任務(wù)，實(shí)現交付效率、交付質(zhì)量、交付能力的可視、溯源與追蹤，通過(guò)精準的分析模型，驅動(dòng)管理者持續改進(jìn)產(chǎn)研效率，助力企業(yè)向市場(chǎng)快速交付更多的業(yè)務(wù)價(jià)值。

　　四、縱深一體化安全研運管理平臺：讓價(jià)值與流程高效聯(lián)動(dòng)

　　縱觀(guān)DevSecOps市場(chǎng)，當前研發(fā)效能普遍停留在簡(jiǎn)單度量指標的展示，度量模型建設及智能決策能力還有待提高。鑒于如此，我們梳理了來(lái)自不同行業(yè)中諸多客戶(hù)的DevSecOps落地案例，總結了集安全技術(shù)能力、超前的DevSecOps組織與文化理念、完備的安全服務(wù)于一體的實(shí)踐方法，一方面，助力投資方與創(chuàng )新實(shí)踐者對齊行業(yè)認知，另一方面，幫助政企IT團隊精準選型，避免踩坑，順利完成安全研運一體化的DevSecOps的轉型與落地。

　　我們通過(guò)打造研運全流程的縱深一體化安全研運管理平臺，幫助客戶(hù)打破信息與數據隔離，采用了基于數據挖掘與人工智能技術(shù)，收集多場(chǎng)景、全流程的數據，搭建了領(lǐng)先于行業(yè)的智慧效能度量體系，幫助企業(yè)快速找到研運低效率、低質(zhì)量的根源，進(jìn)而通過(guò)BI決策模型輔助團隊快速交付。讓企業(yè)更高效、更可靠地，向市場(chǎng)持續交付高質(zhì)量的業(yè)務(wù)價(jià)值。

　　在具體實(shí)踐中，縱深一體化安全研運管理平臺，在需求設計階段通過(guò)S-SDLC威脅建模，針對每個(gè)具體需求，在產(chǎn)研各個(gè)環(huán)節中，植入由安全專(zhuān)家發(fā)起的安全需求。

　　一方面，提高了產(chǎn)研團隊的安全防范意識，從源頭減少了漏洞產(chǎn)生。另一方面，我們長(cháng)期堅持“授人以魚(yú)不如授人以漁“的理念”，以賦能形式整體上提高客戶(hù)團隊的安全研發(fā)能力，幫助客戶(hù)降低對安全團隊的依賴(lài)，使市場(chǎng)實(shí)現“研運普惠安全”。

　　在研發(fā)編碼階段，我們融合多種擁有自主知識產(chǎn)權的國產(chǎn)化工具，例如靜態(tài)代碼掃描（SAST）、交互式應用安全檢測（IAST）、軟件成分分析（SCA）、模糊測試（FUZZ）、動(dòng)態(tài)應用安全測試（DAST）等工具，幫助客戶(hù)實(shí)現了更低的MTTD（平均檢測時(shí)間），有效地將安全風(fēng)險阻隔于上線(xiàn)前。并且，通過(guò)對迭代、任務(wù)、缺陷、里程碑等細粒度的記錄與數據分析，實(shí)現了對研發(fā)流程的精細化管理。此外，采用了領(lǐng)先業(yè)內的平均交付時(shí)間、需求流負載、缺陷逃逸率等關(guān)鍵度量指標，以及基于大數據和AI技術(shù)的智能度量模型，落地了一套全流程的安全研運效能度量方法。

　　事實(shí)上對于客戶(hù)而言，快速、準確地檢測出問(wèn)題僅僅是第一步，如何對安全問(wèn)題做出快速響應更為重要。鑒于此，在上線(xiàn)及運營(yíng)階段，我們通過(guò)建立完整的安全響應機制，有效地幫助客戶(hù)降低了MTTR（平均響應時(shí)間）。

　　此外，縱深一體化安全研運管理平臺配備基于數智融和的安全態(tài)勢感知數字大屏，輔助客戶(hù)實(shí)現了對安全風(fēng)險的預防、持續監控、分析和快速響應。并在軟件運行階段，我們采用RASP安全防護技術(shù)，提供了隱藏漏洞的更多可見(jiàn)性，幫助政企有效應對運行時(shí)攻擊。

　　自DevSecOps理念誕生以來(lái)，業(yè)內一直處于探索演進(jìn)過(guò)程中，我們專(zhuān)注于以更專(zhuān)業(yè)、更安全、更值得信賴(lài)的方式，為DevSecOps行業(yè)快速發(fā)展提供可靠的參考。

　　五、未來(lái)展望

　　隨著(zhù)數字化轉型與等保升級，DevSecOps在中國市場(chǎng)呈現了快速增長(cháng)的態(tài)勢，開(kāi)源網(wǎng)安堅信唯創(chuàng )新者勝，能夠感知全盤(pán)的安全態(tài)勢，并實(shí)現體系化縱深安全防御的研運一體化產(chǎn)品，將引領(lǐng)行業(yè)發(fā)展。

　　關(guān)于開(kāi)源網(wǎng)安

　　開(kāi)源網(wǎng)安是中國軟件安全行業(yè)創(chuàng )領(lǐng)者，竭誠與客戶(hù)攜手構建數字化時(shí)代的軟件安全體系。經(jīng)過(guò)近十載的研發(fā)與深耕，開(kāi)源網(wǎng)安已將多項自有技術(shù)成果應用于各行業(yè)的數字化進(jìn)程，引領(lǐng)中國軟件安全的創(chuàng )新與發(fā)展。

　　開(kāi)源網(wǎng)安自誕生起便致力于打造自主核心技術(shù)，以捍衛中國軟件安全為使命。我們逐年推出了多款具有完全自主知識產(chǎn)權的安全產(chǎn)品（SAST、IAST、SCA、Fuzz、RASP、DevSecOps等），填補了國內軟件安全產(chǎn)品的空白, 完成了自有產(chǎn)品矩陣的構建, 更打破了國外技術(shù)的壟斷。多年來(lái)我們積累了大量與世界500強企業(yè)的合作經(jīng)驗，業(yè)務(wù)覆蓋政府、金融、能源、通信、汽車(chē)、物聯(lián)網(wǎng)等多元化場(chǎng)景。期間我們曾助力多家中國大型企業(yè)通過(guò)海外軟件安全標準的認證，成就大國品質(zhì)出海。在這十年間，我們屢獲國家權威認可，多次參與軟件安全國家標準制定。

　　未來(lái)，我們期待與客戶(hù)并肩應對瞬息萬(wàn)變的數字化轉型挑戰，無(wú)論您來(lái)自任何行業(yè)，您都能在與開(kāi)源網(wǎng)安的合作中獲得領(lǐng)先的、跨維度的軟件安全解決方案，實(shí)現“安全"數字化轉型。