关于devsecops:不考虑安全的数字化转型都是伪命题

34次阅读

共计 4082 个字符,预计需要花费 11 分钟才能阅读完成。

促成数字经济倒退。促成数字经济倒退。增强数字中国建设整体布局。建设数字信息基础设施,推动 5G 规模化利用,促成产业数字化转型,倒退智慧城市、数字农村。放慢倒退工业互联网,培养壮大集成电路、人工智能等数字产业,晋升要害软硬件技术创新和供应能力。欠缺数字经济治理,开释数据因素后劲,更好赋能经济倒退、丰盛人民生存”。

——摘录自 2022 年《政府工作报告》

以数字化为重要抓手的数字经济曾经倒退成为一个重要的经济状态,数字经济也被间断多年写入政府工作报告,在刚过去的 2022 年《政府工作报告》中,数字经济被再次提及,这足以看出软件在推动企业数字化转型,放慢数字经济倒退中起着重要作用。

软件:数字化与数字经济倒退重要推动力

有数据表明中国软件产业产值每减少 1%,数字经济产值便会减少 0.511241%,阐明我国软件产业的倒退对数字经济增长具备比较显著的促进作用。因而,在国务院公布的《“十四五”数字经济倒退布局》中将软件和信息技术服务业规模增长定为“十四五”期间数字经济倒退的次要指标,并明确指出软件和信息技术服务业规模要从 2020 年的 8.16 万亿元增长到 2025 年的 14 万亿元。而软件的平安能力将是数字经济高速倒退过程中的无力保障,平安也将是软件的重要生命线。

平安:软件的生命线

平安问题为企业带来多方面的损失,最间接的经济损失,诸如交付勒索赎金、缴纳监管部门的处罚等;其余间接的损失诸如法务危险、品牌影响,这些问题很有可能导致客户的散失,市场份额的放大,最终也转化到了经济损失上,所以平安就是金钱。

  • 2021 年,美国最大的保险公司之一 CNA Financial,在其 IT 零碎蒙受攻打后,向勒索软件组织领取了 4000 万美元;
  • 2021 年 12 月,沃尔玛网络系统存在安全漏洞,未及时处理,被深圳市公安局福田分局等根据相干规定决定给予沃尔玛 (中国) 投资有限公司正告的行政处罚,并责令改过;
  • 2020 年的 SolarWinds 供应链攻打问题,波及影响了到了很多重量级客户,对其主体公司的名誉造成了很大的影响;

在数字化时代,数据就是外围资产,软件被用来产生数据、剖析数据、开掘数据,最终让数据产生价值,软件平安将间接影响数据安全,数据的不平安则间接导致重大经济损失。依据 IBM 公布的《数据透露老本报告》显示,数据透露在各行各业都存在,因为数据透露导致的企业须要为此接受百万美元的损失。

图片起源:IBM《数据透露老本报告》

软件平安之怪现状

更加频发的平安问题

  • 2022 年 3 月,三星电子蒙受黑客攻击,导致大量机密信息遭透露;
  • 2022 年 2 月,英伟达发现蒙受黑客攻击,导致重要信息被盗;
  • 2021 年末,log4j 破绽波及寰球,至今余威尚在;
  • 2020 年的 SolarWinds 软件供应链平安问题,影响波及泛滥大厂,其中不乏思科、英特尔等。

日益严厉的安全形势

开源的迅速崛起以及至今仍旧存在的新冠疫情,让软件的安全形势仍旧不容乐观:

  • Sonatype 公布的《2021 年软件供应链状态》报告显示,针对开源供应链的攻打增长了 650%;
  • Anchore 公布的《Anchore2021 年软件供应链平安报告》显示,64% 的企业在过来一年蒙受了软件供应链攻打;
  • Synopsys 公布的《2021 年开源平安和危险剖析报告》显示,84% 的样本代码库蕴含至多一个破绽,而每个库的均匀破绽数量为 158;
  • Contrast 公布的《DevSecOps 状态报告》显示,79% 的受访者示意他们的开发环境上均匀有 20+ 破绽,生产环境上至多有 4 个破绽。

更加严格的安全监管

中国数据治理法律畛域的“三驾马车”,《数据安全法》、《个人信息保护法》以及《网络安全法》曾经失效并施行;

曾经处罚过泛滥国内大厂的《通用数据保护条例》(GDPR),威力生猛;

美国公布《增强国家网络安全的行政命令》以增强网络网络安全和爱护联邦政府网络。

仍旧存在诸多误区的安全意识

  • 甩锅:平安是平安团队的事件;
  • 狭窄:被黑客攻击勒索才是平安问题领域,其余所有 (配置谬误、敏感信息透露等) 都是不小心;
  • 幸运:全世界那么多软件、软件开发者,攻打怎么可能针对我的软件,我怎么可能成为那个倒霉蛋;
  • 短视:平安须要招人、买工具、搭体系,老本高,然而看不到收益;
  • 自觉自信:这么多年,素来没有蒙受过攻打。

软件平安的破局之道:DevSecOps

DevSecOps 将 DevOps 做了扩大和延长,目标是将平安融入到软件开发生命周期内,全方位保障应用程序平安,从而达到在疾速交付高质量软件的同时还有安全性的保障。DevSecOps 有三个外围因素:平安左移、继续自动化、人人为平安

平安左移(shift left)

在传统软件开发的时候(典型如瀑布式开发),平安染指的工夫比拟晚,个别在软件开发生命周期的测试阶段,甚至更靠后,这时候更“向右”。在半年、甚至一年才公布一次的状况下,这种平安解决形式是业界广泛的做法。但随着用户需要的多样化、麻利化,软件公布的频率必须要进步能力响应用户日益增长的需要,在这种状况下,软件的麻利开发逐步流行起来,月公布、周公布、甚至天公布都是很稀松平时的,在这种公布频率下,还要放弃软件的安全性,就给软件开发带来了很大的挑战。

应答这种挑战的办法就是让平安早染指,在编码甚至打算阶段就染指(诸如威逼建模),这就造成了平安“左移”。左右是针对软件开发生命周期而言,越往左,越凑近开发侧。

左移的背地有一个平安问题修复老本与软件研发生命周期关系的逻辑:

能够看出在软件开发生命周期晚期 (打算、编码) 阶段,发现平安问题,修复的老本是很低的,到了生产线上则修复老本是陡升的。因而,平安“左移”的最终目标是尽可能在软件开发的晚期发现平安问题,以便疾速采取修复措施,同时降低成本。这和新冠疫情的早发现、早隔离、早医治有殊途同归之妙。

继续自动化

平安测试方法泛滥(SCA、SAST、DAST 等),笼罩软件开发生命全周期,如果将这些平安防护伎俩以自动化的形式运行,有两点劣势:

  • 一,缩小研发、测试等人员的工作量,缩小反复的体力劳动,得以让他们把更多的精力放在业务翻新与赋能上;
  • 二,继续自动化可能针对每次代码变更都做到全方位平安防护,让每一次代码变更都以平安形式交付。

最常见也是最通用的办法就是将平安测试融入到 CI/CD Pipeline 外面。

人人为平安

Patrick 在 2009 年的时候提出了 DevOps。大家的惯例认知就是把 Dev 与 Ops 联合起来即可,然而在 2020 年伦敦的 QCon 上提到了 DevOps 曾经不仅仅是研发和运维的事件了(DevOps beyond Development and Operations),软件减速交付的挑战、危险与瓶颈也有可能来自于其余团队,诸如市场,财务,法务等等。对于平安来讲也是,DevSecOps 不仅仅是 Dev、Sec、Ops 三个团队的交融,而是所有团队、所有人都要为软件的平安负责,独特打消平安所带来的危险,最终做到软件的平安、疾速交付。

DevSecOps 的落地指南

能够遵循“PPT”模型来落地 DevSecOps,即人 (People)、流程(Process) 以及工具(Tool):

  • :保持以人为本。人是最要害、最外围的生产因素。这外面的人不仅仅指研发、运维、平安人员,应该蕴含所有与软件研发相干的人。在以人为本的根底上,进行组织架构转变、公司(团队) 文化打造,最终达到进步人员工作效率、改善工作体验的目标;
  • 流程:构建合适流程。流程应该尽量做到标准化、自动化、透明化,而且要让工作人员对流程达成肯定共识,以便大家都可能遵循流程。比方 CI/CD 中要嵌入哪些平安伎俩、在呈现平安问题时 CI/CD Pipeline 应该终止,安全漏洞的报告要透明化,破绽追踪要可视化,明确破绽修复的规范等等。
  • 工具:抉择适合的工具。工具是 DevSecOps 落地实际的最终支撑点。与平安相干的工具十分多,针对不同的开发阶段,有开源也有商业版本。没有一款工具可能搞定所有的平安问题,平安的全方位保障往往是多种工具链的联合,抉择可能和现有研发流程无缝集成、研发人员应用起来不便、部门之间合作顺畅是十分重要的。

化简为繁,万法归一:极狐 GitLab DevSecOps

万法归一:一个平台,端到端的平安能力

极狐 GitLab 的 DevSecOps 性能笼罩软件全生命周期,提供从打算到上线的的全流程平安保障能力,实现从软件动态到动静的平安护航。

便捷易用:开箱即用

极狐 GitLab DevSecOps 性能开箱即用,用户无需装置配置第三方工具,无需额定学习编程语言,研发、测试、运维均可疾速上手开始应用。

继续平安:无缝集成极狐 GitLab CI/CD

与极狐 GitLab CI/CD 可能无缝集成,针对每一次代码变更都执行残缺的平安检测,做到真正的平安继续自动化。

化繁为简:报告对立展现

多种平安扫描的后果对立展现,突破由多种平安工具独自产生平安报告所带来的平安信息孤岛,可能更加不便的筛选出真正具备参考价值的安全漏洞数据。

修复闭环:应用极狐 GitLab Workflow

当有任何代码变更时 (创立 MR),嵌入 CI/CD Pipeline 中的平安检测伎俩被触发,相应的平安扫描后果会在 CI/CD 流程完结时展示在 MR 中,破绽的级别(高中低)、起源(来自 SAST 还是 DAST 等) 均和盘托出,帮忙研发在第一工夫找到平安问题,进行及时修复,及时避免了有问题的代码被合入主分支,从而“感化”主分支的代码。

回绝背锅:破绽修复,有据可依,有迹可查

一旦在 MR 中看到平安问题,能够间接点击安全漏洞,在查看详情的过程中,间接创立 Issue 来对平安问题进行追踪,在平安问题修复之后,敞开 Issue。在前期的复盘中,能够通过间接查看 Issue 来找到相应的负责人、修复状况等。

                软件犹如人生,平安好比保险,买一份保险(平安),保毕生安全(交付)。越早购买保险(早染指),保费越少(老本少),保障越好(成果好),属于防患未然;越晚购买(晚染指),保费越高(老本高),保障越差(成果差),属于亡羊补牢;终生不买(无安全意识),则无任何抵挡危险的能力,万一遭逢可怜(被攻打),则回天乏术(game over)。

正文完
 0