隨著越來越多的數據遷移到云端，越來越多的組織采用云計算，我們也越來越需要相應地改進網絡安全策略。正在考慮的一個改進策略就是谷歌一直在積極推廣的安全即代碼（SaC）。很多組織一直支持這種相對新生但很有前景的網絡安全方法。

在 2022 年初，谷歌云副總裁兼首席信息安全官 Phil Venable 確定了推動云采用和增強安全性需求的大趨勢。其中一個趨勢是軟件定義基礎設施的興起，這使得有必要將安全配置編碼為可在應用程序開發和部署期間引入的代碼。

這意味著組織可以分析其安全配置并在必要時實施更改，并更快地重新部署應用，同時持續監視其安全配置以確保它們符合組織的安全策略。

安全即代碼的興起

安全即代碼于 2020 年作為資源工具集引入，旨在幫助保護軟件開發生命周期。此后，它獲得了一定程度的牽引力。由于它能產生具有持續可驗證控件的可分析安全配置，現在正慢慢被采納為現代安全態勢的一部分。

SaC 將安全性作為 DevOps 的關鍵部分進行集成，通過確定開發過程中需要安全控制的地方來建立有效的安全控制。它要求開發人員在代碼中指定基礎架構平臺和配置，而不是在代碼完成后對其進行處理，從而確保經濟高效地實施安全檢查和測試，這樣就可以避免延遲和對代碼和基礎結構進行不必要的更改。

正如谷歌副總裁Phil Venables所言，安全即代碼的優勢在于提供與組織確定滿足獨特安全要求所必需的安全配置相對應的安全配置。雖然許多安全漏洞是由于意外和未知風險而發生的，但也有些安全漏洞是由于組織未能部署特定的安全控制引起的，如果他們仔細分析其需求并不斷測試其安全態勢有效性，他們就可以部署這些安全控制。

SaC 與基礎架構即代碼策略相關聯，該策略源于從手動流程轉向更有效地保護軟件定義的網絡和系統（尤其是虛擬機、容器及其相關軟件）的需求。

安全專家認為，隨著組織繼續轉向云原生基礎設施，他們將更需要安全即代碼。以基于邊界系統為首的傳統系統被認為不可持續，并且對困擾軟件定義云網絡的快速演變的威脅效率較低。所以安全即代碼也被稱為未來應用程序安全的燃料。

如何實施

安全即代碼并不難實現。執行此操作的一種基本方法是在 CI/CD 管道和代碼中設置安全規則、工具、策略、測試、掃描和代理，這需要在提交一段代碼時自動進行測試。因此，必要時，開發人員可以對安全測試結果進行評估和糾正。

SaC的主要目標是在開發團隊編寫代碼時持續執行安全測試，以確保在準備代碼時（而不是在完成后）修復問題并優化性能。如果做得好，組織可以節省更多的時間、精力和資源。

有些人錯誤地將 SaC 等同于 DevSecOps，但它只是其中的一部分——朝著 DevOps 中集成安全性邁出了相當大的一步。它不是DevSecOps，但它涉及許多與DevSecOps框架一致的組件。這些組件分別是訪問控制和策略管理、漏洞掃描和安全測試。

訪問控制和策略管理——SaC 實施的第一步關鍵是定義訪問控制和策略管理。組織需要制定正式的治理決策和策略遵守系統，為安全需求提供明確的參考。有了這個，開發團隊可以專注于關鍵功能，因為他們可以將授權卸載到外部庫（符合既定的安全策略）。

這既加快了開發過程，也不會影響安全性，從而建立安全策略的中央存儲庫和開發人員可以通過該平臺監控和驗證授權的通用平臺。

漏洞掃描——這是關于驗證應用程序每個組件的安全性及其在應用程序的整個生命周期中的部署。用于確定漏洞的威脅情報不必由組織本身開發。它可以基于 OWASP 漏洞和其他威脅情報源或網絡安全框架。

但是，漏洞掃描必須是一個自動且持續的過程，才能具有可持續性和有效性。例如，跨站點腳本和 SQL 注入的檢測可能很復雜、重復且乏味。但是SaC 實施需要自動化和連續性。

安全測試——最后，SaC 需要有一個安全測試組件來檢測可能導致應用程序完整性、可用性以及其包含或處理的數據的隱私或機密性的問題。需要明確的是，安全測試不是漏洞測試的冗余。安全驗證不僅僅是檢測和堵塞可能被威脅參與者利用的安全漏洞。它還解決了配置錯誤、數據不安全、暴露公司機密的可能性、應用程序錯誤和不可接受的停機時間。

重大變化和優勢

安全即代碼并非旨在取代組織用于保護其 IT 資產的網絡安全系統。它側重于提供更深入的信息去保護應用程序安全性。首先，它能夠快速、全面地適應安全要求的變化。隨著安全性在整個開發生命周期中不斷得到重視，開發人員可以獲得更高的安全可見性，并通過確保及時的自動安全修復來降低與應用程序修補和網絡攻擊損害相關的成本。

此外，SaC 還制定了一個框架，可促進安全、開發和運營團隊之間更好的協作。它與許多網絡安全專家倡導的“左移”目標一致。最終，這些將縮短發布周期、降低成本和無縫操作，不僅使組織受益，還能使客戶受益。更快的產品發布、安全補丁和其他應用更新以及更好的整體安全性可以創造更好的客戶體驗。

擁抱SaC也不是一個復雜的過程。想要避免處理太多技術細節去進行試錯運行以實現最佳配置的組織可以轉向第三方安全即代碼解決方案。領先的安全公司提供面向 SaC 或 SaC 的解決方案，這些解決方案可與現有開發人員工具無縫運行，以解決編碼錯誤、配置問題、安全漏洞和泄露的機密。這些解決方案可以全面掃描安全問題，實現可靠的策略實施，進行實時驗證，并呈現操作測試結果。

總結

同樣，安全即代碼不能替代現有的全面安全狀況管理系統。它強調了在應用程序開發過程中更加重視安全性的必要性，以便在應用程序和整體企業 IT 的安全性方面創造更多價值。雖然部分人可能將其視為額外的安全負擔，但它創造的優勢和好處肯定超過了采用新的網絡安全范式的挑戰。

原文標題：??Security as Code: Creating a New Cybersecurity Paradigm Amid Growing Cloud Use??，作者：Evan Morris