“安全即程式碼”目前發展到哪個階段?

谷歌和一些公司正在為軟體新增安全配置，以便雲應用程式和服務有明確定義的安全設定，同時，這也是DevSecOps的關鍵組成部分。

目前，希望提高敏捷性和支援混合工作模式的公司越來越多地採用雲基礎架構，這也使得更多的開發團隊採用“安全性即程式碼”的方式，將安全性構建到軟體和產品中。

在過去一年，谷歌將“安全即程式碼”作為其雲產品的基本組成部分，並在1月份將“軟體定義的基礎設施”確定為推動雲安全的八大趨勢之一。將安全配置編碼為可以作為開發和部署流程輸入的程式碼，可以讓組織分析其安全配置，輕鬆更改和重新部署，並持續監控其安全配置的狀態，以評估其是否匹配策略。

谷歌雲首席資訊保安官表示，這麼做更有利於分析安全配置，並且持續可驗證。

“安全即程式碼”的好處在於，可以清晰瞭解到所部署的配置和所要分析的配置完全對應。此外，“安全即程式碼”是“基礎設施即程式碼”的擴充套件，DevOps 團隊已將基礎架構即程式碼作為構建和部署軟體、容器和虛擬機器的事實上的標準，但現在公司認為，向雲原生基礎架構的轉變將使安全即程式碼成為一種可持續的安全方法。

“安全即程式碼” 是如何工作的

2021年，諮詢公司麥肯錫(McKinsey and Company)認為，在現代企業移動的速度下，安全即程式碼可能是確保雲應用程式和基礎設施安全的唯一方法。這家企業在一份意見書中寫道：在雲端計算中實現價值需要大多數公司建立一個轉型引擎，將雲整合到業務和技術中，在主要業務中優先推動採用，並建立更安全、更經濟的使用雲所需的基礎能力。“SaC是開發雲安全和風險管理基礎能力的機制。”

谷歌希望使這個概念更加實用，併成為任何雲基礎設施的一部分。去年11月，該公司的網路安全行動團隊宣佈了一項風險與合規作為程式碼(RCaC)解決方案。

採用了DevOps的公司知道，可重複的軟體構建依賴於能夠將基礎設施元素的配置(無論是軟體應用程式、管道構建還是容器)指定為檔案中的程式碼。這種將基礎設施作為程式碼的方法允許開發人員和操作專家在部署配置之前分析配置。

“安全即程式碼”的目標是在安全方面做同樣的事情，這種方法被許多人稱為DevSecOps。“安全即程式碼”表示各種元素的安全配置，包括應該執行的安全測試、漏洞掃描的標準、加密需求和訪問控制。

它如何影響軟體材料清單(SBOM)?

谷歌認為目前使用更明確和功能強大的軟體材料清單，是軟體及程式碼在未來的關鍵組成部分。透過使用軟體材料清單，可以在任何構建過程中分析軟體程式的元件，使用容易受到特定威脅(如Log4j)的元件可能會停止構建。

這種機制有利於做出更有彈性的決策，與過去在傳統本地環境中所能做的相比，這種用於執行安全策略的環境可程式設計性是很大的變革。

在建立程式碼時發現並解決問題比在雲中出現問題有效得多。透過這種方式，可以確保預設部署的內容是安全的，並且任何修復都是簡單的合併請求，而不是事後考慮或者補丁。

SAST和SCA這類工具在自動化實現“安全性即程式碼”上發揮著很大作用。大多數企業甚至不知道他們的軟體是由哪些元件組成的，也不清楚所寫程式碼是否規範或者存在安全缺陷。

目前，我們還處於採用“安全即程式碼”的早期階段，基礎設施即程式碼對安全性發展有很大意義，但還沒有完全成熟，很多組織並沒有這種機制。

文章來源：

https://www.darkreading.com/cloud/security-as-code-gains-more-support-but-still-nascent