DevSecOps的概念在2012年由Gartner首次提出,并逐渐受到国内企业的追捧。随着数字化转型加速和企业上云进程的推进,敏捷开发模式使软件开发生命周期缩短(几天到几周),留给安全的时间越来越短,因此必须在DevOps中有效地融入安全,即DevSecOps。业界已经达成一种共识,即DevSecOps是DevOps发展的必然结果。
- 概览
1.1. DevSecOps产生背景
传统安全模式局限:传统的安全实践往往在软件开发的后期阶段进行,这导致安全问题难以及时发现和修复,增加了安全风险。
软件开发周期变短:随着云计算、移动应用、物联网等技术的普及,软件开发变得更加快速和频繁,传统的安全测试方法已无法适应这种快速迭代的节奏。
安全要求不断提高:随着数据泄露事件的频繁发生,用户对应用和服务的安全性要求越来越高,企业需要提供更安全、更可靠的产品以满足市场需求。
1.2. DevSecOps定义
DevSecOps 是一种融合了开发(Dev)、安全(Sec)和运维(Ops)的集成方法论,旨在通过将安全实践融入软件开发和部署的整个生命周期,提高软件系统的安全性、可靠性和效率。这种模式强调安全左移(Shift Left)、持续自动化和人人参与安全,以尽早发现并修复安全问题,从而降低成本,并通过CI/CD将安全检测集成到研发流水线中,实现自动反馈和跟踪。
DevSecOps工具链示意图
- DevSecOps发展现状
标准化组织的推动:DevSecOps 的实践得到了国际标准化组织(ISO)和全球软件开发社区的广泛认可,ISO 27034 等标准为 DevSecOps 提供了指导框架。
工具和平台的丰富:市场上出现了众多支持 DevSecOps 实践的工具和平台,如 Snyk、SonarQube、JFrog、GitLab CI/CD 等,这些工具帮助团队自动化安全检查、代码审查、漏洞管理等流程。
企业实践的普及:越来越多的企业开始采用 DevSecOps 方法,将其作为提高软件质量、降低安全风险的关键策略。例如,Google、Microsoft 、华为等大型科技公司已经在内部广泛实践 DevSecOps。根据信通院调查数据显示,实践DevSecOps的企业超过70%。
- DevSecOps成熟度评估
3.1. 可信研发运营安全能力成熟度模型
信通院牵头联合十余家企业共同制定了《可信研发运营安全能力成熟度模型》,指导企业落地DevSecOps。可信研发运营安全能力成熟度模型强调安全左移,关注需求、设计、研发安全,分为管理制度以及涉及软件应用服务全生命周期的要求、安全需求分析、设计、研发、验证、发布、运营和下线九大部分,每个部分定义了关键安全要素,规范了企业研发运营安全能力的成熟度水平。
可信研发运营安全能力成熟度模型
可信研发运营安全能力成熟度项目将对标行业标准,围绕标准要求开展安全咨询测评,通过预评估来查漏补缺,对标同业机构,提升企业研发运营全流程安全能力,最终达到可信研发运营安全标准要求,获得第三方资质证书。
3.2. OWASP DevSecOps成熟度模型
OWASP SAMM是一个开源的DevSecOps成熟度评估模型,从5个维度,18个子维度将DevSecOps的成熟度划分为4个等级,用于指导被评估企业如何开展DevSecOps实践。
3.3. BSIMM DevSecOps成熟度模型
Synopsys推出的BSIMM(Building Security In Maturity Model)可以量化多家不同组织的软件安全活动,揭示其共同点和不同点,从而反映每个组织的独特性。BSIMM评估计分卡可用于评估SSI的当前状态、找出差距、为变更事项分配优先级、并确定如何以及在哪里分配资源,以实现立即改进。
“
BSIMM 是一种开放式标准,其框架建立在观察到的软件安全实践之上。它整合了来自 100 多家组织中的数百项评估数据,描述了数千名安全专业人员和开发人员的工作。
- 最佳实践
4.1. 悬镜安全
悬镜安全凭借多年技术攻关首创专利级代码疫苗技术和下一代积极防御框架,通过“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,提供敏捷安全全栈闭环产品和软件供应链安全组件化服务,协助行业用户建立DevSecOps CI/CD黄金管道,利用关键技术(IAST交互式应用安全测试、SCA第三方组件成分分析、RASP运行时应用自保护等)实现CI/CD工具链自动化,通过识别漏洞,实现漏洞信息统一规范性命名与标准化描述,及时修复漏洞为业务保驾护航。
4.2. 华为
在设计阶段,有威胁建模工具 SecDesign、隐私分析评估与管理平台 SecPCP;在开发阶段,有安全编码检查平台 SecSolar;在测试阶段,有安全测试云 SecGuard;在发布阶段有SignCenter数字签名平台及配套验证工具。在 Ops 阶段,华为也有相应的工具,如安全态势感知和漏洞扫描VSS,具体参见下图。
4.3. 天翼云
天翼云作为领先的云计算服务提供商,深知强化自身安全能力的重要性。面对日益增长的网络威胁和复杂的安全挑战,天翼云通过自研安全工具与多平台构建的全栈安全体系,为保障产品和服务的安全性提供了创新且高效的解决方案。
自研代码安全统一框架:通过天翼云红盾实验室自研代码安全统一框架(融合CTyunSAST、CTyunSCA等工具),支持研发阶段代码安全扫描工作集中开展,加强安全左移能力,提前在研发过程中削减安全风险。
自研攻击面管理系统ASM,深度融合云原生平台:通过天翼云红盾实验室自研的攻击面管理系统-ASM,丰富云原生攻击面自动发现能力。
云原生容器风险持续削减:持续迭代云原生容器风险规范及检测能力,解决云原生服务基础安全。
多平台构建全栈安全体系:DevOps平台、数据安全管理平台、云原生安全平台、安全运营SOC中心、接口安全管理平台等多平台护航研发、测试、构建、部署、运营等产品全生命周期安全,保障各环节安全能力建设及安全要求达标,同时通过智能化安全态势感知和响应,结合威胁情报、资产纳管、应急响应,实现风险威胁的快速闭环响应。
- 未来趋势
自动化和智能化:随着人工智能和机器学习技术的发展,DevSecOps 将更加依赖自动化工具和智能分析,以提高安全检查的效率和准确性。
持续集成与持续部署(CI/CD)的优化:CI/CD 流程将进一步优化,实现更快、更频繁的软件交付,同时保持安全标准的遵守。
跨职能团队的协作:DevSecOps 强调跨职能团队的紧密合作,未来团队成员将更加注重安全意识的培养和技能的提升,形成更加高效、协作的开发环境。
合规性和隐私保护:随着全球数据保护法规的加强,如 GDPR、CCPA 等,DevSecOps 将更加注重合规性和隐私保护,确保软件开发和部署符合相关法律法规的要求。
- 写在最后
综上所述,DevSecOps 通过将安全融入开发、运维的全过程,旨在提高软件系统的安全性、可靠性和效率,其发展背景、现状及未来趋势均显示出其在现代软件开发中的重要性和必要性。相信在最近几年,GPT的快速发展会打通DevSecOps全面落地的最后一公里!