2020年RSA大會于2月24日至28日在舊金山召開。大會主題為“Human Element”。去年作為RSA大會DevSecOps日的轉(zhuǎn)折點，約有超過800名從業(yè)人員參加了為期一天的專題活動。今年，重點則放在從業(yè)者如何在組織內(nèi)部調(diào)整并向DevSecOps轉(zhuǎn)型，詳細解析了組織所面臨阻礙其進步的問題類型，以及如何從公司的各個層面上獲得支持幫助等內(nèi)容展開討論。

此前，嘶吼在分析參展廠商時發(fā)現(xiàn)有絕大多數(shù)企業(yè)聚焦DevSecOps這一話題，它作為一種為應用程序開發(fā)的生命周期引入安全性的設計考慮，最大程度地減少漏洞并使安全性更貼近IT實景和業(yè)務目標。就在當?shù)貢r間2月24日結(jié)束的RSAC2020創(chuàng)新沙盒大賽上，十家初創(chuàng)公司中有半數(shù)企業(yè)聚焦應用安全，可以見得DevSecOps落地已成為大勢所趨。

筆者認為 DevSecOps的前提是軟件開發(fā)生命周期中的每個人都應對安全負責，也就是實質(zhì)上將操作、開發(fā)與安全功能相結(jié)合。即安全性嵌入到開發(fā)流程中來，它并非將安全性最終固定于IT系統(tǒng)之中，而是通過在DevOps工作流程中嵌入安全控制流程進行安全管理的核心任務。

DevSecOps重要性體現(xiàn)在?

IT基礎(chǔ)架構(gòu)的巨大變化：向動態(tài)配置、共享資源和云計算的轉(zhuǎn)變已推動了IT系統(tǒng)演進速度、敏捷性和成本收益等方面，這些都有助于改善應用程序的開發(fā)。

在云中部署應用程序的能力提高了規(guī)模和速度，向DevOps方法論的遷移和持續(xù)交付使得“大爆炸式”應用程序成為過去。尤其，DevOps一直以來將開發(fā)和IT運營集成在“單一自動化保護傘下”的原則對所有事情都有所幫助，從更頻繁的功能發(fā)布調(diào)整到增強的應用程序穩(wěn)定性中來。但是，許多安全性和合規(guī)性監(jiān)視工具無法跟上這種變化的步伐，因為它們并不是為開發(fā)代碼而開發(fā)的，它們無法以DevOps要求的速度進行測試。也就出現(xiàn)了以下觀點：安全性是快速開發(fā)應用程序以及IT創(chuàng)新性最大障礙。

而人們?yōu)榱似瞥@一阻礙，令安全性和IT系統(tǒng)架構(gòu)更加巧妙的結(jié)合，推出了DevSecOps的方法論，改進由安全性帶來的矛盾和阻礙。

DevSecOps的時代已然來臨

DevSecOps優(yōu)勢：簡而言之，它能夠縮短實現(xiàn)更高標準的自動化時間長度，進而減少因決策失誤帶來的風險和一般情況下操作錯誤導致系統(tǒng)宕機或遭受不同程度攻擊等問題。當然，這種自動化還一定程度上減少了安全人員手動配置平臺的操作。

隨著企業(yè)從DevOps逐漸過渡到DevSecOps，我們發(fā)現(xiàn)安全性和開發(fā)人員領(lǐng)域的出現(xiàn)重疊。在RSAC2020大會上，不論從達美航空公司的“Delta的DevOps轉(zhuǎn)型”的演講，還是英特爾公司的“開發(fā)人員的安全策略和法規(guī)趨勢”的演講中，均發(fā)現(xiàn)許多會議更多面向的是組織內(nèi)部如何處理DevSecOps轉(zhuǎn)型，他們面臨的困擾、問題，進一步提升并將安全性更好的納入開發(fā)流程的最佳實踐中來。

RSAC2020 創(chuàng)新沙盒上應用安全與DevSecOps公司概覽：

·BluBracket

關(guān)鍵詞：代碼安全

公司成立于2019年，BluBracket于上周宣布獲得650萬美元的投資。其主營代碼安全解決方案，第一款產(chǎn)品是BluBracket CodeInsight，它是一種審核工具，目前已發(fā)布使用，該工具使公司可以全面了解誰從Git庫中撤回了代碼;第二個工具BluBracket CodeSecure需到2020年下半年才能使用，它保護代碼安全性，囊括了按照分級對代碼分類的安全能力，最高級別的代碼將具有特殊地位，組織內(nèi)部可以為其附加規(guī)則，如：未經(jīng)允許不能將其分發(fā)到開源文件夾中等。

·ForAllSecure

關(guān)鍵詞：下一代代碼測試(模糊測試)解決方案

成立于2012年，2016年在DARPA網(wǎng)絡大挑戰(zhàn)賽中獲得第一名;2017年入選《麻省理工科技評論》的50家智慧公司;去年ForAllSecure在New Enterprise Associates的領(lǐng)導下籌集了1500萬美元的A輪融資。旗下技術(shù)平臺Mayhem的下一代模糊測試安全方案，旨在做到“自動識別和修復軟件中的安全漏洞”，對當前的威脅作出足夠迅速的反應，而模糊測試的本身就是降低測試門檻，有效為組織建立起信任。

ForAllSecure的首席執(zhí)行官David Brumley博士稱“如果組織內(nèi)安全人員不了解編碼基礎(chǔ)，要改進的不是令其成為開發(fā)人員，而是確保他們明悉軟件和計算機是如何深入工作的，進一步提高安全技能。”

·Sqreen

關(guān)鍵詞：RASP、WAF

Sqreen此前已經(jīng)完成了1400萬美元的A輪融資，該公司旨在提高Web應用程序和云基礎(chǔ)架構(gòu)的安全性。它的宗旨是不需要組織更改代碼或防火墻設置，通過在服務器上安裝一個軟件包，并添加幾行代碼以在應用程序中執(zhí)行調(diào)用所需Sqreen模塊，更為輕量級的輸出安全服務。它的應用程序安全平臺可幫助組織保護應用程序，增加可見性，并通過查找關(guān)鍵威脅，修復漏洞將安全性集成到SDLC中來保護代碼。其提供了低成本、高水平的RASP+in App WAF解決方案，為實現(xiàn)快速部署、高可擴展性、降低延遲提供了促進作用。

·Tala Security

關(guān)鍵詞：WAF

現(xiàn)代化的Web體系結(jié)構(gòu)極大地加快了網(wǎng)站和應用層攻擊的速度，例如Magecart、XSS、重定向攻擊和基于Web的惡意軟件等。Tala Security的主打產(chǎn)品WAF，通過基于AI引擎進行實時分析，解決攻擊目標為依賴JavaScript和第三方特權(quán)訪問等威脅，其平臺可抵御最廣泛的客戶端攻擊，并對組織系統(tǒng)的性能影響為零。

·Vulcan Cyber

關(guān)鍵詞：SOAR

Vulcan Cyber已于去年9月完成1000萬美元A輪融資，截止目前總計融資1400萬美元。該公司旨在通過自動化修補程序完成對于漏洞的修復操作。其平臺將優(yōu)先級和部署流程自動化，以更快地修復更多漏洞，有效較低業(yè)務運營風險和成本。

Vulcan Cyber可以很好地與所有主要的云平臺以及Puppet、Chef和Ansible等工具和GitHub、Bitbucket等工具結(jié)合使用，還集成了眾多主要的安全測試工具和漏洞掃描程序，其中包括Black Duck、Nessus、Fortify、Tripwire、Checkmarx、Rapid7和Veracode。

總結(jié)

盡管CI / CD在不斷發(fā)展以滿足包括容器編排在內(nèi)的越來越多的軟件開發(fā)需求，但應用程序中的許多默認設置都需要進行額外的強化以確保安全性。由此，將安全性集成到開發(fā)過程中成為必然趨勢。組織選擇使用更好的DevSecOps工具，確保從構(gòu)建、部署、程序運行的整個生命安全周期中納入安全性。隨后，可以通過創(chuàng)建良好的DevSecOps文化氛圍，搭建位于安全團隊和運營團隊之間的橋梁，保障開發(fā)團隊在開發(fā)過程中也可以及時確認安全性，該步驟可以通過自動化檢測與響應推進。還需要注重的一點是，組織不僅應將DevSecOps納入IT架構(gòu)規(guī)劃中，還應盡可能的從不同角度進行安全測試，以確保正在運行的組織平臺的安全性。