【51CTO.com快譯】現(xiàn)如今，盡管各種駭人聽(tīng)聞的網(wǎng)絡(luò)攻擊事件已是各類新聞?lì)^條的“常客”了，但是大多數(shù)企業(yè)仍會(huì)在其IT環(huán)境的搭建之初就忽略了、或錯(cuò)誤地實(shí)施了安全管控。

而對(duì)于一些初創(chuàng)型企業(yè)及其新建的IT系統(tǒng)而言，它們時(shí)常會(huì)將有限的資金花費(fèi)在無(wú)關(guān)的資產(chǎn)、或流程的保護(hù)之上。根據(jù)Verizon 2018年度數(shù)據(jù)泄露調(diào)查報(bào)告顯示，在一般企業(yè)的系統(tǒng)中，有40%的漏洞會(huì)出現(xiàn)在應(yīng)用層。而他們花費(fèi)在保護(hù)應(yīng)用程序上的年度安全預(yù)算，卻只有3%～4%。

與此同時(shí)，一般企業(yè)的IT部門在人員崗位分配上也存在著不均衡的現(xiàn)象，時(shí)常會(huì)出現(xiàn)100名開(kāi)發(fā)人員僅配備了一位安全技術(shù)專家的狀況。而這些孤獨(dú)的安全人員，往往不得不疲于提供瀑布式的安全策略與實(shí)踐，以趕上整個(gè)研發(fā)團(tuán)隊(duì)的敏捷開(kāi)發(fā)節(jié)奏。因此，當(dāng)他們根據(jù)安全檢查表中的不達(dá)標(biāo)項(xiàng)，叫停某些應(yīng)用編碼工作、進(jìn)而導(dǎo)致延遲產(chǎn)生的時(shí)候，都將被視為是對(duì)公司當(dāng)前項(xiàng)目推進(jìn)的阻礙、內(nèi)部生產(chǎn)效率的破壞、甚至是對(duì)整體文化的“毒害”。

在現(xiàn)實(shí)情況中，如果您沒(méi)有在整個(gè)軟件交付的管道中實(shí)施安全流程管控的話，那么您必將面臨著各種組件的延遲交付或風(fēng)險(xiǎn)發(fā)布，而且這些組件往往會(huì)帶有潛在的漏洞。不過(guò)，這恰好是DevSecOps能夠發(fā)揮作用的地方。它通過(guò)各種安全實(shí)踐，來(lái)最小化軟件交付管道中的各種脆弱性，為組織的IT和業(yè)務(wù)的目標(biāo)保駕護(hù)航。

在XebiaLabs公司(譯者注：一家獨(dú)立的軟件公司，專注于為大型組織開(kāi)發(fā)企業(yè)級(jí)的持續(xù)交付與DevOps軟件)最近組織的一次網(wǎng)絡(luò)研討會(huì)上，來(lái)自Signal Sciences的研究主管--James Wickett，與DevOps思想領(lǐng)袖--Gene Kim，以及XebiaLabs的首席產(chǎn)品官(CPO)--Rob Stroud，討論了如何將安全性接入到整個(gè)DevOps生命周期中的三項(xiàng)原則。

您除了可以通過(guò)鏈接：https://xebialabs.com/community/webinars/devsecops-missing-link-of-business-velocity/，來(lái)收聽(tīng)該網(wǎng)絡(luò)研討會(huì)的現(xiàn)場(chǎng)錄音之外，還可以通過(guò)如下文字閱讀有關(guān)DevSecOps的三項(xiàng)核心原則。

原則1：為最壞的場(chǎng)景做好設(shè)計(jì)

為了將安全性盡量“左移”(指各項(xiàng)流程管道的初始階段)，獲取開(kāi)發(fā)部門的理解與支持是非常重要的。為了實(shí)現(xiàn)該目標(biāo)，各個(gè)企業(yè)需要幫助研發(fā)人員了解到，在他們的應(yīng)用程序中可能存在的威脅與漏洞，并需要有針對(duì)性的進(jìn)行各種計(jì)劃與設(shè)計(jì)。Wickett建議采用如下四種方式：

• 艙壁模式(Bulkhead Patterns)-- 以一種分割應(yīng)用程序之間依賴性的方式，來(lái)設(shè)計(jì)您的程序代碼。這是一種“未雨綢繆”的設(shè)計(jì)理念。如果您能夠隔離應(yīng)用程序中的各個(gè)組件，那么縱然某一個(gè)組件出現(xiàn)了故障，而其他組件仍然可以運(yùn)行并提供服務(wù)。Wickett說(shuō)，該模式的典型應(yīng)用案例就是針對(duì)微服務(wù)的引入。您會(huì)很自然地借用艙壁的理念，將大的整塊服務(wù)分割成多個(gè)小的單功能服務(wù)。雖然這是一種絕佳的安全實(shí)踐，不過(guò)我們也需要在企業(yè)環(huán)境中事先考慮到微服務(wù)的擴(kuò)展限制問(wèn)題。
• 惡意用戶場(chǎng)景(Evil User Stories) -- 您可以通過(guò)描述用戶如何破壞系統(tǒng)的安全性，來(lái)提醒敏捷開(kāi)發(fā)團(tuán)隊(duì)，在他們編寫最終產(chǎn)品代碼時(shí)限制惡意用戶的各種可能行為。例如他們可以這樣制定代碼的邏輯：如果有用戶在訪問(wèn)某個(gè)網(wǎng)站時(shí)，試圖進(jìn)行跨站點(diǎn)腳本注入攻擊，那么就直接拒絕其任何操作行為。Wickett說(shuō)，那些具有高安全性的組織，通常會(huì)使用各種既定的語(yǔ)言、模式和測(cè)試框架，來(lái)描述不同的用戶場(chǎng)景，并以此融入現(xiàn)有的敏捷開(kāi)發(fā)企業(yè)文化之中，使之成為可接受的系統(tǒng)的一部分。
• 威脅建模(Threat modeling) -- 在軟件開(kāi)發(fā)的過(guò)程中，您可以使用威脅模型來(lái)說(shuō)明應(yīng)用程序在運(yùn)行時(shí)所涉及到的組件，并識(shí)別出這些組件可能面臨的潛在風(fēng)險(xiǎn)，進(jìn)而選取最好的防護(hù)措施。威脅建模對(duì)于那些缺乏安全專家人手的環(huán)境是至關(guān)重要的。同時(shí)，通過(guò)提供一些具有針對(duì)性的風(fēng)險(xiǎn)管控模型，安全人員會(huì)更容易實(shí)現(xiàn)與研發(fā)部門的溝通，并達(dá)成共識(shí)。
• 風(fēng)險(xiǎn)評(píng)估(Risk Assessments) -- 您可以將基于風(fēng)險(xiǎn)的評(píng)估方法運(yùn)用到自己的環(huán)境中，以確定哪些給定的措施更適合于自己的用例環(huán)境。這將有助于開(kāi)發(fā)人員通過(guò)提供參數(shù)輸入的方式，將評(píng)估集成到應(yīng)用的設(shè)計(jì)與實(shí)施階段，并貫穿整個(gè)項(xiàng)目的生命周期。

原則2：安全測(cè)試貫穿整個(gè)管道

一般而言，針對(duì)軟件交付管道的全面安全加固，就意味著：在應(yīng)用程序的整個(gè)生命周期，對(duì)每一個(gè)組件和階段，都采取漏洞測(cè)試。您可以采用如下的方法測(cè)試軟件交付管道的安全性。

• 逆境測(cè)試(Adversity Testing) -- 您可以通過(guò)各種“實(shí)戰(zhàn)性”的攻擊工具，對(duì)自己的管道進(jìn)行注入攻擊，以找出不同的安全漏洞。Wickett推薦下載的工具包括：Metasploit(https://www.metasploit.com/)、Nikto(https://cirt.net/Nikto2)和Arachni(http://www.arachni-scanner.com/)。安全人員通過(guò)利用它們來(lái)對(duì)某個(gè)網(wǎng)站進(jìn)行測(cè)試，以找出那些薄弱的環(huán)節(jié)。這些測(cè)試的目的都是為了獲悉您系統(tǒng)環(huán)境中的漏洞，以及整體抗攻擊的能力。
• 安全即代碼(Security-as-Code) -- 類似于基礎(chǔ)設(shè)施即代碼(infrastructure-as-code, https://xebialabs.com/glossary/infrastructure-as-code/)，安全即代碼是將各種安全模式集成到代碼系統(tǒng)之中，成為一個(gè)自動(dòng)化的流程部分。由于它能夠更多地將開(kāi)發(fā)人員帶入安全相關(guān)的流程中，因此安全即代碼是企業(yè)塑造DevSecOps文化的重要組成部分。
• 漏洞測(cè)試(Vulnerability Testing) -- 通常情況下，我們會(huì)用不同的方法對(duì)應(yīng)用程序進(jìn)行漏洞測(cè)試。其中包括：
  • 靜態(tài)應(yīng)用程序安全測(cè)試(SAST)，提供了一套檢測(cè)應(yīng)用程序代碼漏洞的工具集。
  • 動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)，是采用外部攻擊，來(lái)測(cè)試應(yīng)用程序的運(yùn)行狀態(tài)的一種方法。
  • 交互式應(yīng)用程序安全測(cè)試(IAST)，是在測(cè)試階段分析應(yīng)用程序的行為，以幫助開(kāi)發(fā)者對(duì)所發(fā)現(xiàn)的漏洞進(jìn)行優(yōu)先級(jí)排序的一種方法。

原則3：摒棄只重視AppSec培訓(xùn)的謬誤

在過(guò)去十年間，整個(gè)行業(yè)都過(guò)于重視培訓(xùn)開(kāi)發(fā)人員編出具有安全性的代碼。雖然AppSec培訓(xùn)非常重要，而且其各種最佳實(shí)踐能夠提高企業(yè)的整體安全意識(shí)，但是它也會(huì)帶來(lái)一些其他問(wèn)題。對(duì)于一些新手程序員而言，只要是用人工編寫代碼的方式，就可能會(huì)帶有漏洞。因此我們不應(yīng)盲目地認(rèn)為他們所開(kāi)發(fā)的代碼，足以讓其應(yīng)用程序固若金湯。同時(shí)，接受過(guò)AppSec培訓(xùn)的研發(fā)人員，會(huì)更具備“全棧”的開(kāi)發(fā)能力，當(dāng)然更容易被其他公司所“挖”走。

因此，我們不能只專注于開(kāi)發(fā)人員是否能編寫出更為安全的代碼，而應(yīng)該盡可能地將各種流程自動(dòng)化，并放置到軟件交付管道的左側(cè)(初始階段)，同時(shí)在右側(cè)(管道的末端)增設(shè)各種與安全相關(guān)的監(jiān)測(cè)工具。另外，我們應(yīng)當(dāng)盡量通過(guò)一套部署管理系統(tǒng)，來(lái)強(qiáng)制實(shí)施各項(xiàng)自動(dòng)化的進(jìn)程，以保證代碼在最終發(fā)布階段的安全性。

安全性和敏捷性并重

對(duì)于一般企業(yè)而言，將不同職能部門的團(tuán)隊(duì)組織起來(lái)，通過(guò)DevOps的協(xié)作方式，在規(guī)定時(shí)間內(nèi)交付出軟件產(chǎn)品是極具挑戰(zhàn)性的。我們時(shí)常會(huì)看到一些實(shí)施了DevOps的企業(yè)，他們的團(tuán)隊(duì)雖然實(shí)現(xiàn)了在軟件產(chǎn)品交付上的“提速”，卻無(wú)法讓產(chǎn)品達(dá)到相應(yīng)的安全水準(zhǔn)。因此，如果您在軟件持續(xù)交付的過(guò)程中忽略了安全性的保障的話，那么您最后將會(huì)失去客戶的信任，也沒(méi)有人愿意、或敢去使用您的軟件產(chǎn)品。

原文標(biāo)題：Delivering Security and Speed: The 3 Core Principles of DevSecOps ，作者：Tim Buntel

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】