DevSecOps：一个开源的故事

最新推荐文章于 2024-03-27 06:59:49 发布

网络安全大菠萝

最新推荐文章于 2024-03-27 06:59:49 发布

阅读量193

点赞数

文章标签：开源 devops 运维网络安全 5G

本文链接：https://blog.csdn.net/Candour_0/article/details/128623298

版权

最近的供应链违规事件，加上拜登总统的新网络安全行政命令，使人们重新关注DevSecOps对企业的价值。DevSecOps为开源软件（OSS）带来了文化变革、框架和工具。要理解DevSecOps，你必须了解它与OSS的关系。

什么是DevSecOps？

在其最纯粹的形式中，DevOps（是开发和运营的综合体）是一种在软件交付生命周期中打破程序员和系统管理员之间传统孤岛的方法。企业和政府机构出于各种原因采用DevOps，包括提高软件交付速度以更好地服务客户。

DevSecOps在DevOps中加入了安全因素，进一步完善了这一概念，通过自动化处理代码质量、安全和可靠性保证，实现持续的安全和合规。寻求遵守萨班斯-奥克斯利法案（SOX）、支付卡行业数据安全标准（PCI DSS）、FedRAMP和类似项目的组织是实施DevSecOps的候选者。

例如，寻求符合FedRAMP的联邦政府机构应该使用DevSecOps，因为它可以使他们在软件开发过程的每个阶段都实现安全自动化。同样，被委托处理敏感的个人医疗信息（PHI）的医疗机构需要使用DevSecOps来确保其云应用符合HIPAA的要求。

你越是把安全缓解措施移到左边来解决开发中的这些问题，你就越能节省资金。你还可以避免潜在的负面新闻，因为你的团队不必对生产中的问题作出反应，而在生产中的修复成本可能会比在开发环境中发现的问题高得多。

你可以把从DevOps到DevSecOps的转变视为DevOps之旅的另一个步骤。但它更像是对你的开发组织和你的整个业务的转型。下面是一个典型的框架。

1.分析、沟通和教育。这包括分析你的开发流程的成熟度；为你的组织定义DevSecOps；培养一种具有持续反馈和互动、团队自主性、自动化和架构的DevSecOps文化。
2.**将安全整合到你的DevOps生命周期中。**确保你的DevOps和安全团队一起工作。
3.将自动化引入你的DevOps生命周期。从小型开发项目开始，逐步扩大你的自动化战略。
4.协作对你的DevOps工具链进行安全修改。让你的开发和安全团队在项目上联合工作，以加强你的DevOps工具链。
5.**执行DevSecOps：**让你的团队充分参与到DevSecOps工具链和新流程中。
6.鼓励持续学习和迭代。为你的开发人员和系统管理员提供培训和反馈机制，以支持开发人员的表现和你的工具链的健康。

我们正处于软件开发历史上的一个独特节点，提高安全性和加快软件开发速度的需求正处于一个十字路口。虽然DevOps在提高速度方面做了很多工作，但总是有更多工作要做。

DevSecOps的发展

DevSecOps的增长在合规性和安全意识方面是显而易见的。例如，在注重安全的美国国防部内，它的追随者越来越多。Platform One等项目为DevSecOps实践如何在最有安全意识的政府任务中保护开源和云技术树立了榜样。

根据Gartner的《2020年敏捷和DevOps的炒作周期》，DevSecOps在行业内的渗透率为20%至50%。随着企业将应用开发转移到云端，这种大流行病已经成为DevSecOps的催化剂。

DevSecOps的挑战

即使你把DevSecOps当作DevOps旅程中的另一个步骤，你也可以预期你的工具链、DevOps和安全团队的角色，以及你的小组的互动方式会发生变化。在GitLab的2021年全球DevSecOps调查中，超过60%的受访者表示因为DevOps而产生了新的角色和责任，所以要让你的人提前做好准备，把意外降到最低。

你可以采用各种开源的DevSecOps工具来构建你的DevOps管道，包括。

Alerta整合并删除了来自多个来源的警报，以提供快速的可视化。它与Prometheus、Riemann、Nagios以及其他面向开发者的监控工具和服务集成。你可以使用Alerta来定制警报，以满足你的要求。
StackStorm提供事件驱动的自动化，提供脚本化的补救措施和响应。一些用户亲切地称它为"运营的IFTTT"。
Grafana允许你创建自定义仪表盘，汇总所有相关数据，以可视化和查询安全数据。
OWASP Threat Dragon是一个基于网络的工具，提供系统图表和规则引擎，用于自动建模和缓解威胁。Threat Dragon吹嘘其易于使用的界面和与其他软件开发工具的无缝集成。

DevSecOps带来了一种文化，与DevOps的方式相同。培养DevSecOps文化就是要把安全放在第一位，使其成为每个人的工作。DevSecOps组织需要超越强制性的企业范围内的在线安全培训与罐装对话，并将安全引入开发和业务流程。

DevSecOps和开源风险缓解

企业甚至政府机构使用多达90%的开放源代码。这有时占了一个应用程序中数百个离散的库。毫无疑问，开放源码为DevOps团队节省了时间和金钱，但可能需要一个DevSecOps安全模型来缓解开放源码的风险和许可的复杂性。

在Synopsys的2020年DevSecOps实践和开源管理调查中，46%的受访者表示，媒体对开源问题的报道影响了他们在OSS项目中实施控制的方式。最近对供应链违规事件的持续报道，使技术领导者对其控制的严格程度更加关注。

开放源码软件的风险缓解策略和DevSecOps在很多方面都是相辅相成的，比如说。

在OSS进入你的软件供应链之前，开始生成一个软件材料清单（SBOM）作为质量门。
通过引入开发、安全和企业后台团队的人才，让OSS采购与企业软件的审核、购买和接收一样受到关注。你可以调整你的DevSecOps生命周期，将你的OSS采购策略纳入其中。

最后的想法

DevSecOps现在是一个嘈杂的话题。大量的营销人员正试图用他们的方式来定义它，以便向商业和公共部门企业销售更多的产品。即便如此，OSS和DevSecOps之间的关系仍然是干净的，因为DevSecOps工具和策略提供了一个安全门，将OSS带入软件供应链和你的DevSecOps管道，同时从流程的第一步就保持安全和合规。