DevSecOps 管道是一個(gè)集成了安全實(shí)踐和工具的 CI\CD 管道，它向軟件開(kāi)發(fā)生命周期 (SDLC) 添加了掃描、威脅情報(bào)、策略實(shí)施、靜態(tài)分析和合規(guī)性驗(yàn)證等實(shí)踐和功能。DevSecOps不是在部署代碼后通過(guò)時(shí)間點(diǎn)審計(jì)和滲透測(cè)試將安全性附加到項(xiàng)目結(jié)束，而是將安全性融入流程的每一步。這包括構(gòu)建、測(cè)試和部署安全性通常是事后考慮的軟件。

能夠成功構(gòu)建 DevSecOps 管道的企業(yè)可以改善安全狀況、開(kāi)發(fā)吞吐量和代碼質(zhì)量。然而，要做到這一點(diǎn)并不容易。在這里，我們仔細(xì)研究 DevSecOps 管道到底是什么，以及企業(yè)如何在其 CI\CD 管道中構(gòu)建安全性。

DevSecOps 的重要性

DevSecOps 對(duì)于每個(gè)開(kāi)發(fā)項(xiàng)目都是必不可少的，因?yàn)樗驯蛔C明是在實(shí)踐中交付安全、高質(zhì)量軟件的最有效方式。DevSecOps 思維方式將安全納入運(yùn)營(yíng)和開(kāi)發(fā)的范疇，并創(chuàng)建一個(gè)安全是“每個(gè)人”的責(zé)任的環(huán)境。

通過(guò)從項(xiàng)目一開(kāi)始就關(guān)注安全——也就是左移——企業(yè)變得更加合作和高效。傳統(tǒng)上，開(kāi)發(fā)人員和網(wǎng)絡(luò)安全團(tuán)隊(duì)之間的脫節(jié)會(huì)導(dǎo)致項(xiàng)目結(jié)束時(shí)出現(xiàn)瓶頸和代價(jià)高昂的返工。它還導(dǎo)致網(wǎng)絡(luò)安全被視為“無(wú)能團(tuán)隊(duì)”，而開(kāi)發(fā)人員所做的工作足以讓軟件獲準(zhǔn)部署。換檔升降機(jī)顛覆了這種范式，并建立了一種文化，將安全性嵌入到它所做的每一件事中，從長(zhǎng)遠(yuǎn)來(lái)看，這會(huì)提高吞吐量和質(zhì)量。

DevSecOps 管道階段

DevSecOps CI\CD 管道主要側(cè)重于將 DevSecOps 工具和實(shí)踐集成到規(guī)劃、構(gòu)建、測(cè)試、部署和監(jiān)控軟件的過(guò)程中。具體來(lái)說(shuō)，DevSecOps 管道包含以下五個(gè)連續(xù)階段：

• 威脅建模：此階段涉及對(duì)軟件部署面臨的風(fēng)險(xiǎn)進(jìn)行建模。威脅建模詳細(xì)說(shuō)明了攻擊向量和場(chǎng)景、風(fēng)險(xiǎn)分析以及與 DevSecOps 團(tuán)隊(duì)創(chuàng)建的軟件相關(guān)的潛在緩解措施。重要的是要注意威脅在不斷發(fā)展，威脅建模是一個(gè)持續(xù)的過(guò)程
• 安全掃描和測(cè)試：這個(gè)階段是像SAST和DAST這樣的 DevSecOps 管道工具變得流行的階段。隨著開(kāi)發(fā)人員編寫(xiě)、編譯和部署到不同環(huán)境，代碼會(huì)不斷被掃描、審查和測(cè)試。
• 安全分析：掃描和測(cè)試階段通常會(huì)導(dǎo)致發(fā)現(xiàn)以前未知的安全漏洞。DevSecOps 管道的這個(gè)階段處理分析和優(yōu)先處理這些問(wèn)題以進(jìn)行補(bǔ)救。
• 修復(fù)：DevSecOps 管道的這個(gè)階段處理實(shí)際解決在其他階段發(fā)現(xiàn)的漏洞。通過(guò)分析威脅并首先修復(fù)優(yōu)先級(jí)最高的問(wèn)題，企業(yè)可以在交付速度和威脅緩解之間取得平衡，以符合其風(fēng)險(xiǎn)偏好。
• 監(jiān)控：DevSecOps CI\CD 管道的監(jiān)控階段處理已部署工作負(fù)載的安全監(jiān)控。此階段可以發(fā)現(xiàn)實(shí)時(shí)威脅、錯(cuò)誤配置和其他安全問(wèn)題。

有效的 DevSecOps 管道的關(guān)鍵是這些階段在整個(gè) SDLC 中持續(xù)發(fā)生。

DevSecOps 服務(wù)和工具

雖然 DevSecOps 不僅僅是工具，但DevSecOps 管道工具是 DevSecOps 管道如何實(shí)施的一個(gè)關(guān)鍵方面。以下是企業(yè)可以用來(lái)構(gòu)建管道的一些最重要的工具和服務(wù)。

• 靜態(tài)應(yīng)用程序安全測(cè)試(SAST)：SAST 工具掃描源代碼以查找 OWASP 十大常見(jiàn)漏洞等問(wèn)題。
• 動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)：DAST 工具在運(yùn)行時(shí)掃描應(yīng)用程序以檢測(cè)安全問(wèn)題。DAST 工具可以發(fā)現(xiàn)源代碼掃描可能遺漏的漏洞。
• 交互式應(yīng)用程序安全測(cè)試 (IAST)：IAST 將 SAST 和 DAST 結(jié)合到一個(gè)更全面的解決方案中。
• 源組合分析 (SCA)：SCA 工具識(shí)別應(yīng)用程序中的庫(kù)和依賴項(xiàng)，并枚舉相關(guān)的漏洞。
• 漏洞掃描器：漏洞掃描器是一類工具，用于檢測(cè)可能危及安全性和合規(guī)性的錯(cuò)誤配置和問(wèn)題。

用于容器和云的 ShiftLeft 和 DevSecOps 工具

DAST、SAST 和 IAST 等工具是適用于工作負(fù)載的關(guān)鍵AppSec工具，無(wú)論它們部署在何處或如何部署。但是，從戰(zhàn)術(shù)角度來(lái)看，部署模型可能會(huì)推動(dòng)對(duì)特定解決方案的需求。對(duì)于現(xiàn)代數(shù)字企業(yè)而言，容器和云工作負(fù)載現(xiàn)已成為常態(tài)。因此，確保云和容器工作負(fù)載的安全對(duì)于整體企業(yè)安全態(tài)勢(shì)至關(guān)重要。

對(duì)于容器工作負(fù)載，Kubernetes 安全態(tài)勢(shì)管理 (KSPM)等解決方案可幫助企業(yè)為 Kubernetes 集群帶來(lái)安全掃描、威脅評(píng)估、策略實(shí)施和錯(cuò)誤配置檢測(cè)。借助 KSPM，企業(yè)可以識(shí)別基于角色的訪問(wèn)控制 (RBAC) 問(wèn)題、合規(guī)性問(wèn)題以及與預(yù)定義安全策略的偏差。重要的是，KSPM 集成到 CI\CD 管道中以啟用左移并過(guò)渡到真正的 DevSecOps 管道。

同樣，AWS 管道安全和Azure 管道安全給企業(yè)帶來(lái)了獨(dú)特的挑戰(zhàn)。直接集成到這些云服務(wù)中的專用工具可幫助企業(yè)在云中實(shí)施 DevSecOps 管道，包括多云環(huán)境。例如，云安全態(tài)勢(shì)管理 (CSPM)解決方案使企業(yè)能夠獲得對(duì)云資產(chǎn)和安全組的精細(xì)可見(jiàn)性，支持合規(guī)性和治理要求，并實(shí)施即時(shí) IAM 訪問(wèn)策略。