RSA2019觀察:DevSecOps實施中的文化融合與能力構建
DevSecOps作為安全領域中逐漸步入成熟期的技術體系,本質上承繼了安全開發生命週期(SDL)安全關口左移的理念,DevSecOps總結起來就是:能力整合,持續學習,文化融合。其中“融合”這一理念也體現在了今年RSAC DevSecOps day的主題上-“DevOps Connect”,通過CI/CD(持續整合/持續交付)並有效度量,實現效率提升。
本屆會議上,文化融合和衝突成為了演講者聚焦的重點話題,比如紅隊文化和開發人員之間的衝突,技術人員和非技術人員的衝突(包括HR等職能部門)、管理者和被管理者的衝突等。以紅隊與開發者的衝突場景來舉例:紅隊習慣製造“驚喜”(提出高危漏洞,但不提供解決方案)、獲取“機密”(用紅隊做掩護而獲取隱私資料),而這些都不被開發人員以及組織所輕易接受。
文化衝突的體現
大量從業者意識到DevSecOps實施過程帶來的文化衝突,並嘗試解決這個問題,重要手段之一就是文化轉型。為此,Larry Maccherone在會議中提出了Dev[Sec]Ops宣言:
- 建立安全而不僅僅是依賴安全;
- 依賴賦能的工程團隊而不僅僅是安全專家
- 安全的實現功能而不僅僅是安全功能
- 持續學習而不是閉門造車
- 採用一些專用或常用的最佳實踐而不是“偽”全面的措施
- 以文化變革為基礎而不僅僅依賴規章制度
文化的建立和轉型不僅要運用培訓宣貫、會議溝通這類手段,還需要對組織的重新設計,比如建立“擰麻花”式的開放式組織,將安全人員融入每一個開發團隊,而不是建立封閉的部門。這種方式,使得掌握安全能力的人員深入業務、開發、運維等各個領域,讓DevSecOps真正創造價值,避免成為效率瓶頸。
解決衝突的過程同樣離不開自動化和度量。借用演講者的一句話:“將一切簡單的東西自動化,將精力聚焦在複雜的事情上” 。基於這一原則,提升“簡單領域”的自動化和整合程度,聚焦在業務領域的複雜問題上(業務領域知識、組織、管控流程),企業可逐步建立並實現DevSecOps領域的實施路線圖和里程碑。
本屆會議上,可以看到度量機制被實踐DevSecOps的組織以及演講者廣泛應用。度量機制的好處就是效率提升可以量化,用數字說話,這是減少衝突的一種有效方式。關於DevSecops的實施路線和度量理念,Larry Maccherone提出9個實踐關鍵點和文化接受度的7個階段。
9個實踐關鍵點包括:
- 安全意識
- 安全編碼
- 威脅建模
- 第三方匯入程式碼分析
- 程式碼編寫分析
- 團隊合作協議
- 高危脆弱性清理
- 同業人員評審
- 安全評估
DevSecOps的9個關鍵實踐
通過對9個關鍵實踐進行分為7個階段的度量標註,運用不同顏色直觀展示DecSecOps在組織中的實踐和接受程度,使企業對其安全開發能力和發展狀態有了全景認識,為後續持續和深度的改進打造良好的基礎。
從抵制到文化融入的7個階段
綠盟科技安全服務團隊經過在金融、企業、運營商等行業的多年實踐,總結形成了基於DevSecOps進行組織安全開發能力提升的5個關鍵成功要素,即
- 安全開發管控流程
- 安全開發知識庫及工具
- 安全人員組織
- 度量與評價指標
- 持續優化
圍繞上述要素,綠盟科技安全服務團隊設計了基於SDL和DevSecOps的安全開發能力提升服務方法論和整體框架,並構建安全開發能力平臺輔助安全服務的實施過程,通過基於服務能力的平臺產品實現對實施過程中各類安全開發資源的整合與管控:
- Jenkins、Gitlab等DevOps工具鏈的整合
- 6種程式碼安全審計工具以及超過3000條規則的定製與梳理;
- 專家級知識庫
1、基於威脅建模的威脅庫
2、900條+,針對4大類應用安全、通訊安全、系統部署運維安全、典型業務場景安全的安全需求庫
3、覆蓋82個場景,540個安全設計的安全設計庫
藉助安全開發能力平臺可以最大程度上將安全開發的管控時間點左移,從而在持續整合階段即解決程式碼安全問題,並通過專家級知識庫的構建,降低了組織對於無論是“Dev”、“Sec”或者“Ops“人員的安全能力要求,並通過綠盟科技具有豐富的全行業專案經驗的安全服務顧問進行全程現場輔導,協助企業完成跨部門的安全文化構建和流程打穿,最終實現安全開發工作的全程閉環。
關於DecSecOps社群
由DecSecOps社群組織的2019年的RSAC DevSecOps day 的活動熱度超出預期,同樣對比CSA社群的熱度已經明顯下降,其推出的讀物以及海報均下載,是瞭解DevSecOps技術和文化的重要視窗。會議現場DevSecOp社群通過對負責“造輪子”的安全廠商與注重實踐經驗分享的第一方進行空間上的分割,也一定體現了DecSecOps社群的業界生態理念。相信在下一屆的DevSecOps上會看到ShiftLeft等創新沙盒中異軍突起廠商的加入。
社群廠商
社群讀物
DevSecOps海報
(可訪問下載https://www.devsecopsdays.com/resources/devsecopoly-board-poster-v01)
相關文章
- DevSecOps 實施篇!系列(二)dev
- DevSecOps實施篇!系列(二)dev
- 資料安全法正式實施,如何構建企業資料安全能力
- 超融合架構與產品選型的選型評估過程及實施方案架構
- DevOps實施:從敏捷文化與配置檔案的困惑說起dev敏捷
- 智慧駕駛安全專題 | 功能安全與SOTIF如何融合實施
- 【智慧駕駛安全專題】功能安全與SOTIF如何融合實施?
- 融合技術設施的實踐應用
- SmartX超融合網路與安全元件微分段釋出,構建零信任安全的企業雲基礎設施元件
- 如何構建AI文化:AI的啟蒙之路AI
- ERP實施中的團隊建設(1)(轉)
- ERP實施中的團隊建設(2)(轉)
- 法治日報:超融合大幅簡化運維,構建精簡穩定的 IT 基礎設施運維
- 敏捷實施中的估算與實際效果 - Ottinger敏捷
- 資料倉儲構建實施方法及步驟
- 《天涯明月刀》IP主架構:融合技術與藝術 傳統文化的數字化傳承架構
- K朋友問“基礎設施構建與系統整合的關係“
- 手把手教你構建開放式文化
- 線上線下展現龍舟文化魅力,三七互娛如何實現“遊戲+傳統文化”的深度融合?遊戲
- 雲上的可觀察性資料中臺,如何構建?
- IT架構的基礎實施架構
- 深度剖析——超融合架構應用與實踐分享架構
- 智慧城市基礎設施建設的PPP模式如何構建模式
- 超融合架構與傳統IT架構的區別架構
- 天津信託:基於超融合構建信託“雙態” IT 雲化與容災架構轉型最佳實踐架構
- vue專案構建與實戰Vue
- javascript中的觀察者模式實現JavaScript模式
- 中旭未來林文彬:遊戲、IP、文化:探索數字科技的融合發展遊戲
- 銀行信貸業務進入強監管時代,中小銀行如何構建自主風控能力?|產業安全觀察產業
- Salesforce構建可觀察微服務的五種設計模式Salesforce微服務設計模式
- LLM 模型融合實踐指南:低成本構建高效能語言模型模型
- 多元文化與22年的長情:法國遊戲公司育碧如何觀察並適應中國?遊戲
- 傳統ESB與SOA架構融合架構
- 遞推的思維構建與技巧實現
- 建構函式與new的彙編實現函式
- 團隊文化建設:擁抱黑客文化黑客
- 觀察者模式與.Net Framework中的委託與事件模式Framework事件
- 基於 Nebula Graph 構建圖學習能力