DevOps和安全团队长期以来一直在软件交付管道上存在摩擦。DevOps团队历来将安全团队视为采取过度保守方式降低风险的“防御输出部门”。同时,安全团队也认为加速软件发布对治理、安全和监管控制构成了太大的风险。为了调和这两个团队,许多组织试图通过在开发过程的早期阶段采取措施来改变安全和合规性。
尽管这种有限的DevSecops方法确实可以提高软件的质量和交付速度,但并不能解决整个问题。富有远见的企业已经意识到,只是“左移”(shift left)安全性和合规性并不够,他们需要做到“无处不移”(shift everywhere),即在软件开发周期的各个环节都有相应的安全工作。
通过在端到端自动化中包含安全和合规流程,企业可以在整个软件供应链中保护软件,从而大大改善开发人员的体验,并加速更安全的交付。为了实现这一目标,企业需要攻克下述七个常见的Devsecops误解:
误解1:安全性和合规性是软件交付过程中的一个点。
现实:安全性和合规性不该只是软件交付过程中的一个点,而应该持续贯穿整个交付管道。如果从一开始就没有嵌入安全性,安全团队会花更多的时间回头解决问题,而这些时间并不会为组织创造任何生产价值。
误解2:添加更多工具将有助于解决安全性和合规性挑战。
现实:尽管工具当然有助于安全和合规性,但单个解决方案通常无法解决全局问题,还需要更多的人操作工具并分析结果。然后,开发经理还必须花时间消化这些分析结果并确定开发人员的行动。尽管更多的工具可以提供帮助,但更多的工具也可能意味着增加的复杂性。寻找一个单一、全面的解决方案,而不是一组工具,也许会更有效,通过对企业安全性和风险态势提供整体见解,从而最大限度降低潜在故障点。
误解3:培训开发人员成为安全和合规专家将防止违规行为。
现实:您的开发人员可能想要创新,而不是运行测试或解码监管框架。开发人员绝对应该担心安全性问题——我们在这里强调安全是每个人的问题——但是期望开发团队除了日常工作任务外还要处理安全问题,绝对是扼杀创新和滋生怨恨的好方法。
误解4:将安全专家嵌入DevOps团队将有助于应对挑战。
现实:在开发部门配置专门的安全专家,可以帮助释放开发人员的创新能力。但是,这种方法也会导致开发人员任务中断,并加深两个团队之间的裂痕。
误解5:我的公司太小或鲜为人知,不会成为网络攻击的目标。
现实:企业数据泄露的平均成本在数百万美元水平,并且还在迅速增长。在这种利润的刺激下,没有企业可以继续怀有侥幸心理。每个企业(无论规模和行业)都在危险之中,必须认真对待安全问题。
误解6:如果我是自动化的,那么我就是安全且合规的。
现实:自动化是安全和合规性的关键,但是许多自动化工具是“进程点”(point-in-process)解决方案,而不是端到端的自动化。如果您部署工具以自动化管道的单个点,那么这些部分将更加安全。但是,如果您部署工具来自动化整个管道,那么整个管道将更加安全。
误解7:拥抱DevSecops就足够了。
现实:你不仅需要大刀阔斧地调整交付管道来解决开发团队和安全团队之间的摩擦,还需要改变整个组织的文化,确保安全成为每个人的关注点。此外,创新和生产力也必须成为所有团队的优先事项。
端对端安全性
通过端到端软件交付解决方案实现安全性“无处不移”(shift everywhere),使你可以从一开始在整个管道中嵌入安全性。阻碍开发和生产力的为期一月的安全审核将一去不复返,高级DevSecops会在强制使用批准的组件时启用自动安全性和合规性测试。
端到端自动化限制了由于人为错误而导致的安全缺陷的引入,如果确实存在缺陷,那么在交付受损代码之前很容易找到并解决问题。访问控件也是自动化的,以管理谁可以进行更改以及何时进行,确保没有人在不被注意的情况下意外地更改了关键组件。
通过共享管道消除壁垒
通过跨越开发、质量检测(QA)和运营的共享管道平台,组织能够在整个系统的开发过程中都拥有高级控制权和可见性。安全、开发和运营团队拥有对整体数字资产的一致理解,也能使他们以知情的视角进行创新。
共享管道有助于捕获预发布的问题代码,可以部署增量修复程序来解决问题,而不是修复交付后的漏洞。更多的可见性意味着每个人对交付管道都有更好的了解,从而改善沟通问题并有助于消除摩擦和责任推诿。
启用渐进交付
端到端的软件交付解决方案允许渐进交付您的软件,以加速安全版本的发布。渐进交付(progressive delivery)是通过小规模测试代码来降低风险,并能够快速回滚出现的任何问题代码。渐进交付将软件发布变成具有可信赖治理的渐进低风险流程,并在生产中发生严重事情时提供“企业杀伤开关(kill switch)”。
渐进交付还为开发人员提供了更多的创新自由。在低风险的软件发行环境中,他们可以在风险较小的情况下进行更多的试验,并且可以在更灵活的时间表上进行试验。开发团队需要空间进行创造;安全团队需要空间进行安全和治理。端到端的软件管道能够满足两者的需求——通过使产品更快地推向市场来表现。
本文翻译自:https://www.helpnetsecurity.com/2022/06/22/7-devsecops-myths-how-to-overcome-them/如若转载,请注明原文地址