DevSecOps作為安全領域中逐漸步入成熟期的技術體系,本質上承繼了安全開發生命週期(SDL)安全關口左移的理念,DevSecOps總結起來就是:能力整合,持續學習,文化融合。其中“融合”這一理念也體現在了今年RSAC DevSecOps day的主題上-“DevOps Connect”,透過CI/CD(持續整合/持續交付)並有效度量,實現效率提升。
本屆會議上,文化融合和衝突成為了演講者聚焦的重點話題,比如紅隊文化和開發人員之間的衝突,技術人員和非技術人員的衝突(包括HR等職能部門)、管理者和被管理者的衝突等。以紅隊與開發者的衝突場景來舉例:紅隊習慣製造“驚喜”(提出高危漏洞,但不提供解決方案)、獲取“機密”(用紅隊做掩護而獲取隱私資料),而這些都不被開發人員以及組織所輕易接受。
文化衝突的體現
大量從業者意識到DevSecOps實施過程帶來的文化衝突,並嘗試解決這個問題,重要手段之一就是文化轉型。為此,Larry Maccherone在會議中提出了Dev[Sec]Ops宣言:
- 建立安全而不僅僅是依賴安全;
- 依賴賦能的工程團隊而不僅僅是安全專家
- 安全的實現功能而不僅僅是安全功能
- 持續學習而不是閉門造車
- 採用一些專用或常用的最佳實踐而不是“偽”全面的措施
- 以文化變革為基礎而不僅僅依賴規章制度
文化的建立和轉型不僅要運用培訓宣貫、會議溝通這類手段,還需要對組織的重新設計,比如建立“擰麻花”式的開放式組織,將安全人員融入每一個開發團隊,而不是建立封閉的部門。這種方式,使得掌握安全能力的人員深入業務、開發、運維等各個領域,讓DevSecOps真正創造價值,避免成為效率瓶頸。
解決衝突的過程同樣離不開自動化和度量。借用演講者的一句話:“將一切簡單的東西自動化,將精力聚焦在複雜的事情上” 。基於這一原則,提升“簡單領域”的自動化和整合程度,聚焦在業務領域的複雜問題上(業務領域知識、組織、管控流程),企業可逐步建立並實現DevSecOps領域的實施路線圖和里程碑。
本屆會議上,可以看到度量機制被實踐DevSecOps的組織以及演講者廣泛應用。度量機制的好處就是效率提升可以量化,用數字說話,這是減少衝突的一種有效方式。關於DevSecops的實施路線和度量理念,Larry Maccherone提出9個實踐關鍵點和文化接受度的7個階段。
9個實踐關鍵點包括:
- 安全意識
- 安全編碼
- 威脅建模
- 第三方匯入程式碼分析
- 程式碼編寫分析
- 團隊合作協議
- 高危脆弱性清理
- 同業人員評審
- 安全評估
DevSecOps的9個關鍵實踐
透過對9個關鍵實踐進行分為7個階段的度量標註,運用不同顏色直觀展示DecSecOps在組織中的實踐和接受程度,使企業對其安全開發能力和發展狀態有了全景認識,為後續持續和深度的改進打造良好的基礎。
從抵制到文化融入的7個階段
綠盟科技安全服務團隊經過在金融、企業、運營商等行業的多年實踐,總結形成了基於DevSecOps進行組織安全開發能力提升的5個關鍵成功要素,即
- 安全開發管控流程
- 安全開發知識庫及工具
- 安全人員組織
- 度量與評價指標
- 持續最佳化
圍繞上述要素,綠盟科技安全服務團隊設計了基於SDL和DevSecOps的安全開發能力提升服務方法論和整體框架,並構建安全開發能力平臺輔助安全服務的實施過程,透過基於服務能力的平臺產品實現對實施過程中各類安全開發資源的整合與管控:
- Jenkins、Gitlab等DevOps工具鏈的整合
- 6種程式碼安全審計工具以及超過3000條規則的定製與梳理;
- 專家級知識庫
1、基於威脅建模的威脅庫
2、900條+,針對4大類應用安全、通訊安全、系統部署運維安全、典型業務場景安全的安全需求庫
3、覆蓋82個場景,540個安全設計的安全設計庫
藉助安全開發能力平臺可以最大程度上將安全開發的管控時間點左移,從而在持續整合階段即解決程式碼安全問題,並透過專家級知識庫的構建,降低了組織對於無論是“Dev”、“Sec”或者“Ops“人員的安全能力要求,並透過綠盟科技具有豐富的全行業專案經驗的安全服務顧問進行全程現場輔導,協助企業完成跨部門的安全文化構建和流程打穿,最終實現安全開發工作的全程閉環。
關於DecSecOps社群
由DecSecOps社群組織的2019年的RSAC DevSecOps day 的活動熱度超出預期,同樣對比CSA社群的熱度已經明顯下降,其推出的讀物以及海報均下載,是瞭解DevSecOps技術和文化的重要視窗。會議現場DevSecOp社群透過對負責“造輪子”的安全廠商與注重實踐經驗分享的第一方進行空間上的分割,也一定體現了DecSecOps社群的業界生態理念。相信在下一屆的DevSecOps上會看到ShiftLeft等創新沙盒中異軍突起廠商的加入。
社群廠商
社群讀物
DevSecOps海報
(可訪問下載https://www.devsecopsdays.com/resources/devsecopoly-board-poster-v01)