DevSecOps 實施篇！系列（二）

想在自己公司建立 DevSecOps 計劃？沒問題，企業規模無論大小，都可輕鬆實現。這裡有5個基本的 DevSecOps 原則可以幫助你啟動。當然，如果你對 DevSecOps 還不太熟悉，不妨先看看第一篇文章《什麼是 DevSecOps？系列（一）》。

以客戶為中心

以客戶為中心，可以協調業務與安全之間的關係，從而確保制定準確、完備的安全策略，並讓企業的所有成員都能夠支援和實施。但是，要把安全和業務產出結合起來，有時其困難程度猶如要把油和醋混合起來。安全專家使勁了渾身解數力圖攻破軟體，往往還是很難將這些安全資訊和客戶以及最終的業務產出關聯起來。

實際上，安全的複雜性，以及安全專家和業務專家在工作重心方面存在的巨大差異，會導致決策出現重大分歧。安全專家考慮的是如何保護企業資產的安全，而業務專家關注的是如何冒險滿足客戶的需求以增加收入。這些原則性的差異會導致雙方產生極大的摩擦。

拋開這些分歧，秉持以客戶為中心的理念，可以促使安全專家採取更好的安全策略，同時也可以減少複雜性造成的風險控制障礙。此外，安全計劃及產出可以適應客戶需求和業務產出，其中的複雜性也可以通過自動化和報告進行展示。

最終，支援業務產出的必要控制應當簡單易懂，讓安全實現成為人人都可以做的事情。

擴充套件，擴充套件，擴充套件

除了以客戶為中心，安全擴充套件也是必要的。如果客戶需要快速創新業務來解決問題，而安全專家只考慮自己的安全防護功能，這麼做顯然不恰當。相反地，他們應當帶領安全團隊建立相同的工作模式和條件，使安全方案在支援 DevOps 和持續創新之餘還要與業務產出相協調。隨著連續部署、精益創業、敏捷型、DevOps 和其他創新驅動法成為常態，安全的進一步發展也迫在眉睫。

毋庸置疑，安全專家必須具備精益生產的意識，通過要求軟體定義平臺幫助收集、解釋和報告有關業務資源與環境的安全分析。

實現安全擴充套件，其實就是通過減少人工處理量以及實現低風險產出需耗費的時間量，達到解決問題的目的。但是，對於安全專家而言，要使安全策略透明化、簡單化，以便所有人都能夠參與實施，這並不是件容易的事情。不過，努力之下，他們還是有可能改進和發展自動化，允許通過可以擴充套件安全的自助服務進行風險決策。

「以安全為準則」具有可遷移、共享和完善等附加優勢，因為它不是一個讀取一次就被擱置和遺忘的檔案，而是支援業務產出的整個系統的有機組成部分。

客觀標準

你是否曾有過這樣的經歷：安全報告裡有成千上萬條發現，有的甚至還看不明白，自己卻要根據這個報告快速做出決策。我想任何人收到這樣混亂不堪的安全報告，都會覺得頭痛。實際上，為快速決策提供安全資訊正在成為一門藝術，而且通過引入客觀的標準和成熟的方法，該藝術形式得到了極大的改善。

客觀標準可以幫助業務專家明白要在什麼時候、以什麼樣的方式和順序改善業務資源的安全情況。實際上我們可以認為，安全專家的唯一目標就是為業務夥伴提供可行的修復建議。建立客觀標準來衡量企業資產安全無疑是最理想的方式，可以滿足業務夥伴為了快速做出決策對可行性建議的需求。

有時，相比於策略，客觀標準更為重要，因為它能促進企業內形成成熟的控制機制，使風險決策有據可依。

建立安全記分卡是制定 DevSecOps 計劃的基本要素，因為它不僅可以為業務夥伴提供指導，而且還可以為持續監測企業資產安全的安全團隊提供方向。根據物件的不同，記分卡可以通過檢測儀器和記錄結果為決策行為創設情景。

舉個例子，如果面向的物件是開發部，使用的度量指標和提供的報告可能更傾向於開發方面，比如每行程式碼中存在的安全漏洞數量。反之，要是面向運營部，使用的度量指標可以是基礎設施和配置方面存在的缺陷和漏洞。不過整體而言，只要建立記分卡便有助於各個團隊排除干擾和分歧並做出快速、精準的決策。

主動搜尋

想象一下，如果你的公司能夠先於攻擊者發現安全漏洞並在遭受攻擊前將其修復，可以免掉多少損失？主動搜尋並測試業務資源的安全性，有助於及時發現可能會被對手輕易利用的弱點和缺陷。採取主動策略保護業務資源的安全，也有助於更好地衡量與擴充套件，因為在業務受損前發現重要的攻擊面需要自動化和大量的資料。

但是，僅憑一個好的事件響應程式來實現這個需求是不夠的，因為在外部發起嘗試性攻擊時才發現漏洞，已經為時太晚。

建立主動搜尋的最佳方式是實現構建自動化，利用自己的資訊確定安全缺陷，防止漏洞成為攻擊目標。另外，這類功能還可以利用攻擊者目前最常使用的被動輸入來加強自身的防禦策略。從根本上來說，這類功能不僅可以鞏固公司技術環境方面的偵察，而且它還允許內聯測試與開發，可以在整個業務產出的支援系統中優先執行修復措施。

換句話說，加強內部的安全測試，主動搜尋安全漏洞，對企業很有幫助，因為修復建議可立即執行，而且還實現了與業務流程的整合。

持續檢測與響應

最後，除了牢記以上四個原則，還要確保有連續檢測和響應來完成資訊發現和實時攻擊檢測。由於監管流程和基於紙質的控制缺少攻擊分析，DevSecOps 需要持續檢測、對照、關聯和響應來彌補該欠缺。

簡而言之，持續檢測和響應至關重要，因為它通過監測和分析外部對公司目標發起的嘗試性攻擊，可以迅速擊退事件。

這似乎和近十年來所講的檢測和響應沒什麼區別，但實際並非如此。雖然大多數公司已有檢測和響應實踐，但是 DevSecOps 需要更連續的方式來為自動化程式提供反饋，從而加快內部團隊獲知外部發現和攻擊企圖的速度。

更重要的是，安全科學的實現意味著企業可以使用實時資訊識別各類異常事件並做出響應，以用於支援業務產出所需的決策和防禦控制預測。

本文由 DevSecOps.org 首發，系 OneASP 工程師翻譯。如今，多樣化的攻擊手段層出不窮，傳統安全解決方案越來越難以應對網路安全攻擊。OneRASP 實時應用自我保護技術,可以為軟體產品提供精準的實時保護，使其免受漏洞所累。

本文轉自 OneAPM 官方部落格