从RSAC看DevSecOps的进化与落地思考

​0引言

 2020年RSA Conference于2月24日至28日在美国旧金山如期召开，今年的会议主题为“Human Element”，人为因素被认为是影响未来网络安全发展最深远的主题。基于参会人员的关注热度，RSAC发布了2020年网络安全行业十大趋势，DevSecOps再次成为大家关注的焦点之一。其中，有着“全球网络安全风向标”之称的RSA创新沙盒，进入十强的安全厂商中近半数聚焦在应用安全领域，BluBracket和ForAllSecure就是今年DevSecOps领域的创新厂商代表。作为国内DevSecOps的主要推动力量之一，在这里对近几年DevSecOps战略框架的发展做个系统梳理，并分享我们悬镜安全这些年探索的落地实践方案。

01何为DevSecOps？

1.1DevSecOps的定义 

DevSecOps（Development Security Operations的缩写），一套基于DevOps体系的全新IT安全实践战略框架，最早由Gartner咨询公司研究员David Cearley在2012年首次提出，它是一种糅合了开发、安全及运营理念的全新安全管理模式。2016年9月，Gartner发布报告《DevSecOps: How to Seamlessly Integrate Security into DevOps》，业内首次对该模型及配套解决方案进行详细的分析，核心理念为：“安全是整个IT团队（包括开发、测试、运维及安全团队）所有成员的责任，需要贯穿整个业务生命周期的每一个环节。

1.2DevSecOps的意义

  随着云计算、微服务和容器技术的快速普及，不仅IT基础架构发生了巨大的变化，政企组织的业务交付模式也迎来巨大变迁，传统SDLC开发模式向DevOps敏捷开发和持续交付模式迁移，在业务应用交付规模不断扩大、交付速度不断提高、开发运营场景一体化的大环境下，如何保障业务安全成了安全部门最大的难题。DevSecOps为此应运而生，它通过一套全新的方法论及配套工具链将安全能力嵌入到整个DevOps体系中，在保证业务快速发展的情况下实现安全内生和自成长。

 DevSecOps的广泛应用将标志着软件供应链的安全保障进入到一个全新的时代，将安全作为管理对象的一种属性，从软件供应链开发早期开始进行全生命周期的安全管理，将彻底改善企业和机构在软件和IT基础设施的安全现状。

1.3DevSecOps实践的关键角色

如上文所述，如何把安全无缝柔和地集成到敏捷和DevOps开发中，就是DevSecOps重点关注的方向。总的来说，文化、技术和流程的协同在DevSecOps的落地实践中扮演着重要的角色。

• 文化：协作共识

传统文化：业务发展优先，安全是“以后”才会发生的事情，会阻碍业务的发展。

 DevSecOps文化：安全是大家的事。DevSecOps每一个项目都不是纯安全部门的事，是安全和产品、研发、测试、运维等部门一起参与的项目，每一个人皆为安全负责。

• 技术：持续自动化

 DevSecOps背后的哲学就是安全前置，从开发源头做威胁管控， 相关工具链技术不仅可以在需求设计阶段实现威胁建模、开发测试阶段威胁发现，还应支持Jenkins等CI/CD管道，支撑DevOps敏捷开发和快速部署。

• 流程：柔和低侵入

柔和低侵入性是指配套工具链技术的实施尽可能对原业务流程产生微小的影响。好的实践方案尽可能去依附企业原有的开发测试平台来做，比如安全工具接入代码管理、项目管理及第三方单点登录系统等平台，尽可能做到对政企用户的透明自动化。

02从RSAC看DevSecOps的进化

2.1RSAC 2017

• 明确DevSecOps实践主体内容，提出左移安全前置的思想

DevSecOps于2017年首次引入RSAC，大会甚至专门为它设置研讨会。DecSecOps机构总监Shannon Lietz在本次研讨会上做了《下一代安全需要你！》的专题分享，她认为DevSecOps是一套体系化的方法论，由战略驱动，一种通过初始创建并依据真实有效反馈的持续改进实现产品价值、运维、安全等各方面需求的实践，通过开发、运维和安全团队共同努力将安全和合规作为属性嵌入整个流程，并获得配套工具链支撑。

图2.1 RSAC2017 DevSecOps机构总监Shannon Lietz对“DevSecOps”的定义

通过本次研讨