1. DevSecOps
近年来,大型企业 DevSecOps 引入占比逐年递增,从 2020 年的 41.3% 增至 2022 年超 63.5%, 其复合增长率超过 20%。
DevSecOps 一词最早由 Gartner 在 2012 年提出,并在最近几年逐渐成为软件开发种的热点。DevSecOps 在开发人员、测试人员、平安团队和运维团队之间架起了桥梁;它改善了团队之间的沟通和合作,其指标是更快、更高效地交付。DevSecOps,在 DevOps 的根底上减少了平安的流动,在保障疾速开发、疾速的部署的根底上,进步了安全性,内嵌平安到应用程序中,可能更迅速地应答平安威逼。
下图是美国国防部(Department of Defense(DOD))定义的 DevSecOps 软件生命周期的 9 个阶段:打算、开发、构建、测试、公布、交付、部署、操作和监控。平安嵌入到每个阶段。DevSecOps 生命周期具备很强的适应性,并且有许多反馈循环来驱动继续改良。DevSecOps 在治理理念、治理办法、组织构造、开发流程、软件开发、开发平台、工具集成、以及企业文化等方方面面对传统的软件开发提出了新的挑战。
在 DevSecOps 的利用过程中,动态剖析工具在开发阶段承当着十分重要的代码品质和平安的看护工作。本文重点讲述软件动态剖析工具在 DevSecOps 的开发域中的重要作用。
2. DOD DevSecOps
美国防部自 2021 年起公布一系列对于 DevSecOps 相干文件:《国防部企业 DevSecOps 策略指南》、《国防部企业 DevSecOps 根底》、《DevSecOps 参考设计》《DevSecOps 口头手册》等相干撑持文件。
往年五月又补充了《DevSecOps 根底指南:流动和工具》。在这个文档中更加分明的定义了在 DevSecOps 的生命周期中,须要实现的平安流动和对应的工具。波及的平安流动如下表:
| 平安流动 | 阶段 | 依赖的工具 |
|---|---|---|
| 基于工作的网络危险评估 | 全副 | 基于工作的网络危险评估工具 |
| 威逼建模 | 打算 | 威逼建模工具 |
| 代码提交扫描 | 开发 | 代码仓平安插件 |
| 平安代码开发 | 开发 | IDE |
| 提交前的动态代码扫描 | 开发 | IDE 平安插件 |
| 依赖组件破绽查看 | 构建 | 依赖关系查看 / 物料清单查看工具 |
| 动态应用程序平安测试和扫描(SAST) | 构建 | 动态应用程序平安测试和扫描工具(SAST) |
| 数据库安全测试 | 测试 | 平安合规工具 |
| 动静应用程序平安测试和扫描(DAST) | 测试 | 动静应用程序平安测试和扫描工具(DAST)或 交互式应用程序平安测试工具(IAST) |
| 交互式应用程序平安测试(IAST) | 测试 | 动静应用程序平安测试和扫描工具(DAST)或 交互式应用程序平安测试工具(IAST) |
| 手动平安测试(如浸透测试) | 测试 | 各种工具和脚本(可能包含网络安全测试工具) |
| 服务平安测试 | 测试 | 平安合规工具 |
| 部署后平安扫描 | 部署 | 平安合规工具 |
| 合规监控(资源和服务) | 监控 | 合规工具、操作看板 |
| 合规性监控 | 监控 | 合规工具、操作看板 |
| 数据库监控和平安审计 | 监控 | 平安合规工具 |
| 运行时应用程序平安爱护(RASP) | 监控 | 平安合规工具 |
| 零碎安全监控 | 监控 | 信息安全继续监控 (ISCM) |
| SBOM 软件组成剖析 | 构建前期 | SBOM 和软件工厂危险继续监控工具 |
| 软件工厂危险继续监控 | 构建前期 | SBOM 和软件工厂危险继续监控工具 |
| 接口平安测试 | 构建 | API 平安测试工具 |
| 单干和反抗测试 | 运维 | 单干和反抗测试工具 |
| 继续网络经营测试 | 运维 | 持续性网络经营测试工具 |
| 工程混同 | 运维 | 工程混同工具 |
从这个流动表咱们能够看到在开发过程中,有三个要害的平安检测点, 即表格中咱们标红的局部),以及文件中对于这三个检测点的信息合并成下表:
| 流动 | 基线 | 形容 | 输出 | 输入 | 依赖的工具 |
|---|---|---|---|---|---|
| 代码在提交前的动态剖析 | 要求 | 在开发人员编写代码时对代码进行扫描和剖析。告诉开发人员潜在的代码弱点并提出补救倡议。 | 源码、已知弱点 | 发现代码中的弱点问题 | IDE 插件 |
| 代码提交查看 | 要求 | 在将更改推送到代码仓之前,请查看更改中的敏感信息。如果发现可疑内容,它会告诉开发人员并阻止提交。 | 本地提交的代码 | 检出的平安问题和正告 | 代码仓平安插件 |
| 动态利用平安测试 | 要求 | 对软件系统执行动态剖析查看 | 源码、已知的平安问题和弱点 | 动态检查报告和修复倡议 | 动态剖析工具 |
从这个表格咱们能够看到,在代码的开发阶段在以下检测点须要实现相应的动态剖析检测:
- 在 IDE,通过 IDE 平安插件,对须要提交的代码实现平安检测;
- 在代码仓,通过平安插件,进行的代码提交扫描,也是咱们常说的“门禁”;
- 在构建,通过动态剖析工具,实现动态应用程序平安测试和扫描(SAST)
《DevSecOps 根底指南:流动和工具》中,只提出了对流程检测点的须要有的流动要求和工具的粗略的要求,并没有给出具体的流程交融和该怎么在不同的检测点如何抉择工具。
3. OWASP DevSecOps
凋谢寰球应用程序平安我的项目(Open Worldwide Application Security Project(OWASP))是一个非营利性基金会,致力于进步软件的安全性。基金会致力于通过其社区主导的开源软件我的项目,寰球数百个分会,数万名成员以及举办本地和寰球会议来进步软件的安全性。
[《OWASP DevSecOps 领导(OWASP DevSecOps Guideline》]())领导咱们如何实现平安管道和应用最佳实际,并介绍了能够在这件事上应用的工具。
领导在 DevSecOps 的实际中,还特地用一个章节介绍了预提交(pre-commit)的流程。如下图:
这张图分明的给出了预提交的查看流程,并给出了在预提交中须要实现的两种查看:
- 确保代码中没有明码、密钥问题;
- 代码遵循 Linter 规定。
这里的 Linter 我找不到一个适合的中文来翻译这个英文。Linter 本意指的是衣服上在洗衣机洗完后,因为滚动摩擦会使衣物的纤维汇集在一起造成绒毛或纤维等的小球。以前想把这些多进去的 ” 小球 ” 去掉,起初人们创造了叫 Linter 的神器,一滚就能革除掉这种 ” 小球 ”。
1978 年,工作于贝尔试验的 Stephen C. Johnson 在 Debug 本人的 C 语言我的项目时,忽然想到为什么不做一个工具来提醒本人写的代码哪里有问题呢?这个工具也被称为 Linter。Linter 是一种动态剖析工具,次要用于发现代码中语法错误、潜在 Bug、代码格调等。咱们常见的以 lint 命名的各种工具就是这一类型的动态查看工具。简直每种语言都有本人语言的 Linter 工具,例如咱们相熟的:Java:checkstyle,Javascript:[ESLint](),Python:[PyLint](),C/C++:cpplint、Go:golint 等等。
-
《OWASP DevSecOps 领导》中,给出了 Linter 的作用:
- 检测代码中的谬误以及可能导致安全漏洞的谬误;
- 检测格局或款式问题,并使代码更具可读性,从而取得更平安的代码;
- 检测倡议的最佳实际;
- 能够进步代码的整体品质;
- 因为每个人都遵循雷同的 linting 规定,因而代码的保护变得更加容易。
-
《OWASP DevSecOps 领导》中,将动态查看工具的按查看问题的不同定义成 Linter 和 高级动态查看工具:
-
Linter 工具是动态剖析的最根本模式。应用 lint 工具有助于辨认常见谬误,例如:
- 数组索引越界;
- 空指针解援用;
- (潜在)危险的数据类型组合;
- 无法访问的代码(死代码);
- 不可移植的构造。
-
高级动态剖析工具。高级动态剖析工具通常提供:
- 基于模式的查看;
- 品质和复杂性指标;
- 面向开发人员的最佳实际倡议;
- 反对多种以平安和安保为重点的编码标准;
- 用于开发平安要害型利用, 例如:开箱即用的认证。
-
《OWASP DevSecOps 领导》给出不同工具查看缺点类型的不同,次要还是阐明在不同的检测点,须要配置不同类型的查看工具。
4. 平安左移
Capers Jones 在《应用软件测量:生产力和品质的全面剖析》中论述了从软件工程实际角度登程,阐明了大部分的问题在编码阶段引入,同时随着缺点在开发过程中发现的越晚,修复老本越高。
所以咱们心愿通过将开发完后的测试工作融入到开发过程中,这样能够无效的升高开发过程中引入缺点的修复老本。
- 测试向开发阶段左移
- 测试左移, 缺点在开发阶段缩小
在 DevSecOps 概念提出后,人们很天然的就提出了 “ 平安左移 ” 的概念。“平安左移”(引自《OWASP DevSecOps 领导》中的定义)是一种将安全性嵌入到开发过程中的办法或解决方案,并从应用程序或零碎设计的初始步骤开始思考安全性。换句话说,安全性对从事软件开发和操作过程的每个人负责。当然,平安是一种职业,咱们须要高技能的人来表演与平安相干的角色; 但在这种办法中,任何设计师、软件架构、开发人员、DevOps 工程师和…与平安人员一起对平安负有责任。
从这个形容中咱们能够看到平安左移包含几个具体的流动:
- 平安从设计开始,贯通整个流程;
- 全员参加平安流动;
依据后面咱们对美国国防部《DevSecOps 根底指南:流动和工具》,以及 OWADSP 的《OWASP DevSecOps 领导》的理解,在开发过程的编码阶段有三个检查点:IDE、门禁、继续构建 (CI)。依照 ” 平安左移 ” 的理念,咱们是不是也能够 “ 一路向左 ” , 将动态查看工具放到 IDE 或门禁中,实现动态查看工具的左移,从而去掉继续构建(CI) 中的查看环节?是不是能够一路向左?
4.1. 成语故事“就地取材”
好久没在博客里讲故事了。中国历史悠久、先贤们将各种为人、处事的情理、哲学融汇在一个个故事里,通俗易懂,并炼成了让人津津有味的成语故事,源远流长,让普通人都能牢记这些哲理精华,一代代传承。最近刀郎红火起来的歌曲,除了歌曲自身,人们更喜爱开掘的是歌曲中蕴含的各种凄美故事。
春秋末年,楚王听信谗言,杀了伍子胥一家,伍子胥逃到了吴国。伍子胥为了借助吴国给本人报仇,给吴王献计:要想使国家富强,人民安宁,首先要高筑城墙,这样能力增强进攻力量,使其余国家不敢侵犯。还要增强军事力量,空虚武器及物资的储备,这样就可能对别的国家造成威慑之势。同时还要倒退农业,只有农业倒退了,国家能力富强,百姓能力水深火热,将士们才有短缺的给养,而且要空虚粮仓,以备战时之需。这样国家能力安宁,才有可能倒退。吴王十分同意伍子胥的策略。于是奇妙利用吴国的地形,建设起一座依山傍水的城郭。城中有多个城门,且其中三个筑有城楼。大城中还有货色两座小城,西城为吴王的王宫所在地,东城则是驻扎军队、寄存军备的中央。就这样在城中设置守备、积累食粮、空虚兵库,为称霸诸侯做筹备。通过一段时间的筹备,吴国逐步强盛起来。最初吴军大举进攻楚国,五战五胜,最初攻陷了楚国的国都:郢都。伍子胥终于报了杀父兄之仇。这就是“就地取材”成语的故事。
从这个成语咱们也悟出一个情理,对于开发阶段中,对动态剖析的工具应用并不能 ” 一路向左 ”, 须要思考检测点的差别, 选取适合的检测工具,能力建设无效的进攻体系。
4.2. 建设三层代码的防护体系
咱们通过下表能够分明的看到三个检测点的差别,以及依据差别选用不同的动态查看工具,从而达到“就地取材”的成果。
| 比拟项 | IDE | 门禁 | CI |
|---|---|---|---|
| 扫描范畴 | 模块级的代码 | 大量批改的代码文件 | 全量的工程代码 |
| 代码量差别 | 个别小于 <10 万 LOC | 批改量个别 <500LOC,批改文件 <10 个 | 依据工程大小确定,能够达到亿级的代码量 |
| 编译环境 | 局部语言具备本地编译环境,C 语言应编译器配置简单 | 不具备编译环境 | 具备编译环境 |
| 工具配置 | 简略,开箱即用,能够有大量的配置,与 IDE 交融 | 有肯定的配置,须要与 pre-commit 交融 | 能够有简单的配置用于规定的抉择和规定参数的设置 |
| 工具应用 | 局部开发人员会应用 | 强制。注:IDE 查看并不能保障开发人员肯定执行了查看工作,这里通过强制手段,确保代码在入库前实现根本的安全检查 | 强制 |
| 剖析精度 | 要求工具误报低,但容许有大量的误报 | 要求工具工具误报更低,缩小因工具误报照成不必要的重复 | 容忍肯定的误报率,倡议 <30% |
| 剖析效率 | 秒级扫描,不影响本地开发,最好事实实现查看 | 分钟级的扫描,倡议 <5 分钟 | 小时级的扫描,在第二天下班前取得扫描后果即可 |
| 动态查看工具要求 | 编译 / 非编译型,单文件剖析,基于语法树剖析;在不影响效率或能到依赖信息的状况下,适度的进行跨文件的剖析,进步查看范畴和能力 | 非编译型,单文件剖析,基于语法树剖析 在整体工程较小的状况下,通过 CI 实现全量查看 | 编译 / 非编译,跨文件剖析,各种查看能力 |
DevSecOps 在施行过程中除了强调工具的配合实现各个检测点的自动化,更次要的是须要提供一套残缺的工具整合平台,实现整体流程的自动化运行和监管。这也是为什么大部分的企业在施行 DevSecOps 的时候,都抉择了通过云平台撑持 DevSecOps 的施行形式。
5. 华为云的三层查看体系
优良的代码品质保障实际,往往将代码查看融入到开发作业流中,在用户代码编写、代码提交时进行自动化的审计查看,并对团队每日产出的代码进行继续编程标准和质量检查。
这一流动实际要求已是平安开发过程 SDL、DevSecOps 等泛滥优良开发模式举荐进行的实际要求。
华为云代码查看服务(CodeArts Check)提供丰盛的 API 接口、涵括工作新建、工作设置、工作扫描、工作报告解析等查看业务全流程,反对用户应用接口方式无缝集成到自建 CI/CD 或者 CodeArts,作业数据灵便对接到客户看板,代码品质可视、可治理。
同时通过灵便的工作治理,反对排除目录设置防止有效扫描,并反对混合语言查看、简化部署、一次获取整个版本代码品质。
详见:“代码编写、代码合并、版本公布”三层缺点防护,兼顾效率与品质
6. 参考
- [DevSecOps Fundamentals Guidebook: Activities & Tools]()
- [DoD Enterprise DevSecOps Strategy Guide]()
- [DoD Enterprise DevSecOps Fundamentals]()
- [DevSecOps Fundamentals Playbook]()
- [DoD Enterprise DevSecOps-Pathway to Reference Design]()
- [OWASP devsecops guidelien]()
- Capers Jones, Applied Software Measurement: Global Analysis of Productivity and Quality.
- [What Is Shift-Left Testing? – Parasoft]()
理解华为云软件开发流水线代码查看服务:https://www.huaweicloud.com/product/codecheck.html