RSA 亮点播报|揭秘DevSecOps真容

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

美国西海岸时间2018年04月16日，是RSA大会开幕的一天，主会场的展厅都还在布置中，因此小编的重点在创新沙盒和分论坛。其实比较让人感觉有新意是针对DevSecOps的Devops Day，一天的会议，都是各路专家来讲述对这个新兴概念的判断。

“DevSecOps”，一种全新的安全理念与模式，从DevOps的概念延伸和演变而来，其核心理念为安全是整个IT团队（包括开发、运维及安全团队）每个人的责任，需要贯穿从开发到运营整个业务生命周期的每一个环节。

看到这个概念，您的第一反应是“安全运维”，是不是新瓶装旧酒呢？确实一直以来，不论从主机安全还是到网络安全，很多工作都是安全运维的交集，既涉及到安全，同时也涉及到运维，没有运维足够的支持很多安全工作也比较难开展。但是在本次培训中，您会发现最初的理解实际比较片面，刚才提到的并不是真正DevSecOps所要传达的理念，DevSecOps的出现是为了改变和优化之前安全工作的一些现状，比如安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题；通过固化流程、加强不同人员协作，通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内，让安全属性嵌入到整条流水线。

这个与Gartner2017宣传的DevSecOps的理念的完全一致的

同时容器技术的发展，也为DevSecOps的发布过程，解决了灰度发布，快速更新等以前很难实现的难题。

本次参与展览的aqua，Twistlock，Tufin都是容器安全方面的新锐，通过将原有的安全策略管理技术和容器技术配合，打通整个安全的闭环。

其中Fannie Mae最近告诉我们： “历史上，安全团队从开发团队中分离出来，每个团队都在不同的IT领域拥有深厚的专业知识 。“其实不需要这样。关心安全的企业也非常关心通过软件快速交付业务价值的能力，这些企业正在寻找方法，将安全性留在应用开发生命周期内。通过在整个CI / CD中集成安全实践，工具和自动化来采用DevSecOps。”

她说：“为了做到这一点，他们正在整合团队。安全专业人员将从应用开发团队一直嵌入到生产部署中。” “双方都看到了价值，每个团队都拓展了他们的技能和知识基础，成为更有价值的技术专家。正确的DevOps或DevSecOps ，提高IT安全性。”

IT团队的任务是更快，更频繁地交付服务。DevOps成为一个很好的推动因素，部分原因是它可以消除开发和运营团队之间的一些传统冲突，Ops通常在部署之前被排除在外，而Dev将其代码丢在无形的墙上，从来不进行二次管理，更没有任何的基础设施维护责任。说得委婉一些，在数字化时代，这种孤立的做法会产生问题。如果安全是孤立的，也会存在类似的问题。

我们采用DevOps，它被证明可以通过扫除开发与运维之间的障碍来提高IT的性能。“就像不应该等到部署周期结束才开始运维一样，也不应该等到最后才考虑安全问题。”将DevSecOps看作是另一个流行语是一种诱惑，但对于安全意识强的IT领导者来说，这是一个实质性的概念。安全必须是软件开发流程中的“一等公民”，而并非最终步骤部署，或者更糟糕，只有在发生实际的安全事件后才受到重视。

“企业DevOps文化意味着开发人员能够以更快的速度向生产环境提供功能和更新，特别是当自组织团队更加乐于协作和衡量结果。”CYBRIC首席技术官兼联合创始人Mike Kail说。

在采用DevOps的同时，保持原有的安全实践的团队和公司会遇到更多的管理安全风险的痛苦，因为DevOps团队会部署地更快、更频繁。 目前，手动测试安全方法逐渐落后，利用自动化和协作将安全测试转移到软件开发生命周期，从而推动DevSecOps文化，这是IT领导者提高整体弹性和交付安全保证