CISO 如何在CI/CD環境中維護安全

如今，DevOps已經成為一種趨勢。敏捷開發和釋出可以幫助公司快速解決客戶問題和市場創新需求。

在傳統開發流程中，安全團隊和開發人員分開工作，在軟體釋出週期的預定時間進行安全工作。但這種方式對於敏捷開發來說並不適用，安全審計成為軟體釋出過程中的障礙。

鑑於資料洩露的嚴重後果，安全性已成為產品首要考慮的問題之一。組織需要將安全性與敏捷開發結合起來，首席資訊保安官為實現安全整合的敏捷開發機制可以如何做?

優先進行機器ID驗證

傳統的身份管理協議優先考慮人的身份驗證。使用者id和密碼占主導地位。然而，自動化主導了DevOps協議，因此，機器ID主導了ID驗證領域。

敏捷的安全方法首先保護系統不受未經授權的計算機訪問。透過在組織中使用微服務、基於雲的容器和其他自動化過程，機器被交織到現代應用程式中。考慮到安全性與開發之間的距離，大多數應用程式無法保護和驗證訪問敏感機密的機器ID。因此，在處理身份安全問題時，CISO優先考慮機器ID驗證。

提高安全性和開發協作

在傳統流程中，開發人員和安全團隊彼此孤立。目前，DevOps優先考慮快速釋出程式碼，並且不包括安全性，因此，安全與開發的時間線不同，產生了不必要的摩擦。

安全性成為CI/CD管道中不可分割的一部分。Jira等工具促進了所有團隊之間的交流。例如，安全團隊可以檢視釋出時間表，並消除程式碼驗證過程產生的摩擦。諸如預先驗證安全性的程式碼模板、從頭實施安全性的編碼標準，使用對預釋出程式碼進行健壯性測試及安全測試的自動化測試工具。此外，安全團隊還可以檢查和預驗證開發環境，以確保程式碼可移植性不會帶來任何潛在的安全風險。

監控配置更改

DevOps環境優先考慮快速釋出和反饋管理。因此，經常會發生配置更改，在快速釋出環境中，配置變更導致了一些安全風險。CISO採用日誌記錄和審計工具有助於追蹤和管理問題。

將安全引入敏捷開發是一項艱鉅的任務，需要敏捷開發團隊和安全團隊的共同協作和努力，構建一個具備安全性的CI/CD 管道，開發更安全的產品。

https://www.helpnetsecurity.com/2022/08/25/how-cisos-can-safeguard-security-in-ci-cd-environments/