实现DevSecOps正确左移的宣言

DevSecOps正确左移的宣言

随着世界越来越多地转向云和一切的数字化，组织的风险态势也发生了变化。将安全嵌入业务是新的、必须实现的方法，而产品安全是实现这一目标的平滑实现的途径。另外，由以工程为中心的 CISO 的出现引领了Netflix、Github、Square 等许多表现出色的公司，将安全性集成到编码、构建和交付中，这是改善整体安全状况的最有效的方法之一。
这就是为什么 DevSecOps 的大规模采用是最大的安全趋势之一。 随着 DevOps 的质量和效率的优势的确立，安全分层和DevSecOps 的“左移”是作为下一个合乎逻辑的步骤。

然而，即使在 2022 年，许多组织仍处于 DevSecOps 之旅的早期阶段。安全性不是从一开始就集成到 SDLC 中，而是在部署后通过漏洞扫描程序和渗透测试来增加安全性。 好消息企业认识到了差距并正在尝试实施 DevSecOps 实践。云安全联盟 (CSA) 报告发现 89% 的组织正在积极采用 DevSecOps。这些组织中的大多数仍处于 DevSecOps 的规划、设计或实施阶段，这表明了市场的发展方向。 在这些早期阶段，组织需要驾驭 DevSecOps 采用的文化和人文方面。安全必须停止成为“拒绝团队”，并在开发生命周期中形成根深蒂固的观念。正确地“左移”意味着倾向于“安全是每个人的责任”的理念，并使安全成为流水线不可分割的一部分，而不是部署后发生的事情。

正确“左移”：DevSecOps 宣言

DevSecOps 的未来意味着什么？这是一个对市场有影响的简短宣言：

• 文化和心态比工具更重要。自动化和工具很重要，但采用 DevSecOps 始于文化转变。因为通常在安全和开发之间会形成一种近乎牵扯的关系，需要转变为作为共同责任的安全，变成将安全作为一个团队的工作，不过，这需要时间、努力和奉献精神。不过这对可以帮助企业实现成功平稳过渡的第三方咨询公司产生了巨大的需求。
• 软件成分分析(SCA) 必须成为优先事项。供应链攻击、抗议软件和像Log4Shell这样的开源漏洞已经清楚地表明了安全库和依赖关系的重要性。今天的应用程序依赖于来自第三方的大量软件，一个软件包中的安全漏洞可能会产生巨大的连锁反应。像 JFrog 和 GitLab 这样的 DevSecOps 平台使团队可以轻松地保护他们的依赖关系并跟踪软件出处可以解决这个问题，同时简化 DevSecOps 的采用。
• 工具需要消除安全方面的摩擦。为了使 DevSecOps 有效，安全需要直接集成到软件交付流水线中。如果安全集成造成瓶颈并阻碍生产力，业务团队将开始寻求绕过。安全性必须成为开发人员编骂、构建和部署方式的一部分，而不是一个单独的过程。这就是为什么 DevSecOps 工具必须与 DevOps 工作流紧密集成的原因。
• DevSecOps 工具需要处理合规性挑战。许多企业必须遵守 HIPAA、PCI-DSS 和 SOX 等标准。要跟上所有的审计、扫描和要求通常需要大量的人工工作。“合规即代码”解决方案，如 Concourse Labs 和 IBM 的开源 Trestle（基于 NIST 的 OSCAL 模型）可以在这里增加很多价值。通过使用 DevSecOps 工具和实践简化合规流程，团队可以展示业务价值并帮助创建积极的反馈循环，以更广泛地采用DevSecOps。 （注意这里将 AppSec 工具排除在外。虽然重要，但 AppSec 是一个独特的类别，我们应该将其视为对 DevSecOps 的补充。DevSecOps 是从代码到部署的任何事情，AppSec 是部署后的。）

总而言之，大多数组织都希望采用 DevSecOps 实践，但他们当前的实践更接近于传统的瀑布方法，而不是上面 DevSecOps 宣言中描述的敏捷实践。 因此，大多数企业面临的直接障碍是克服与人员和流程相关的挑战。对于 DevSecOps 服务和解决方案的提供商，重点应该是消除集成安全性的摩擦，并帮助团队团结起来，让安全成为每个人的责任。

原文可参考：https://www.securityweek.com/vc-view-devsecops-evolution-and-getting-shift-left-right