RSA2019觀察：DevSecOps實(shí)施中的文化融合與能力構(gòu)建

2019年03月12日22:27 來源：互聯(lián)網(wǎng)T|T

【移動(dòng)通信網(wǎng)】DevSecOps作為安全領(lǐng)域中逐漸步入成熟期的技術(shù)體系，本質(zhì)上承繼了安全開發(fā)生命周期(SDL)安全關(guān)口左移的理念，DevSecOps總結(jié)起來就是：能力集成，持續(xù)學(xué)習(xí)，文化融合。其中“融合”這一理念也體現(xiàn)在了今年RSAC DevSecOpsday的主題上-“DevOps Connect”，通過CI/CD(持續(xù)集成/持續(xù)交付)并有效度量，實(shí)現(xiàn)效率提升。

本屆會(huì)議上，文化融合和沖突成為了演講者聚焦的重點(diǎn)話題，比如紅隊(duì)文化和開發(fā)人員之間的沖突，技術(shù)人員和非技術(shù)人員的沖突(包括HR等職能部門)、管理者和被管理者的沖突等。以紅隊(duì)與開發(fā)者的沖突場(chǎng)景來舉例：紅隊(duì)習(xí)慣制造“驚喜”(提出高危漏洞，但不提供解決方案)、獲取“機(jī)密”(用紅隊(duì)做掩護(hù)而獲取隱私數(shù)據(jù))，而這些都不被開發(fā)人員以及組織所輕易接受。

文化沖突的體現(xiàn)

大量從業(yè)者意識(shí)到DevSecOps實(shí)施過程帶來的文化沖突，并嘗試解決這個(gè)問題，重要手段之一就是文化轉(zhuǎn)型。為此，LarryMaccherone在會(huì)議中提出了Dev[Sec]Ops宣言：

●建立安全而不僅僅是依賴安全;

●依賴賦能的工程團(tuán)隊(duì)而不僅僅是安全專家

●安全的實(shí)現(xiàn)功能而不僅僅是安全功能

●持續(xù)學(xué)習(xí)而不是閉門造車

●采用一些專用或常用的最佳實(shí)踐而不是“偽”全面的措施

●以文化變革為基礎(chǔ)而不僅僅依賴規(guī)章制度

文化的建立和轉(zhuǎn)型不僅要運(yùn)用培訓(xùn)宣貫、會(huì)議溝通這類手段，還需要對(duì)組織的重新設(shè)計(jì)，比如建立“擰麻花”式的開放式組織，將安全人員融入每一個(gè)開發(fā)團(tuán)隊(duì)，而不是建立封閉的部門。這種方式，使得掌握安全能力的人員深入業(yè)務(wù)、開發(fā)、運(yùn)維等各個(gè)領(lǐng)域，讓DevSecOps真正創(chuàng)造價(jià)值，避免成為效率瓶頸。

解決沖突的過程同樣離不開自動(dòng)化和度量。借用演講者的一句話：“將一切簡單的東西自動(dòng)化，將精力聚焦在復(fù)雜的事情上”�；�于這一原則，提升“簡單領(lǐng)域”的自動(dòng)化和集成程度，聚焦在業(yè)務(wù)領(lǐng)域的復(fù)雜問題上(業(yè)務(wù)領(lǐng)域知識(shí)、組織、管控流程)，企業(yè)可逐步建立并實(shí)現(xiàn)DevSecOps領(lǐng)域的實(shí)施路線圖和里程碑。

本屆會(huì)議上，可以看到度量機(jī)制被實(shí)踐DevSecOps的組織以及演講者廣泛應(yīng)用。度量機(jī)制的好處就是效率提升可以量化，用數(shù)字說話，這是減少?zèng)_突的一種有效方式。關(guān)于DevSecops的實(shí)施路線和度量理念，LarryMaccherone提出9個(gè)實(shí)踐關(guān)鍵點(diǎn)和文化接受度的7個(gè)階段。

9個(gè)實(shí)踐關(guān)鍵點(diǎn)包括：

●安全意識(shí)

●安全編碼

●威脅建模

●第三方導(dǎo)入代碼分析

●代碼編寫分析

●團(tuán)隊(duì)合作協(xié)議

●高危脆弱性清理

●同業(yè)人員評(píng)審

●安全評(píng)估

DevSecOps的9個(gè)關(guān)鍵實(shí)踐

通過對(duì)9個(gè)關(guān)鍵實(shí)踐進(jìn)行分為7個(gè)階段的度量標(biāo)注，運(yùn)用不同顏色直觀展示DecSecOps在組織中的實(shí)踐和接受程度，使企業(yè)對(duì)其安全開發(fā)能力和發(fā)展?fàn)顟B(tài)有了全景認(rèn)識(shí)，為后續(xù)持續(xù)和深度的改進(jìn)打造良好的基礎(chǔ)。

從抵制到文化融入的7個(gè)階段

綠盟科技安全服務(wù)團(tuán)隊(duì)經(jīng)過在金融、企業(yè)、運(yùn)營商等行業(yè)的多年實(shí)踐，總結(jié)形成了基于DevSecOps進(jìn)行組織安全開發(fā)能力提升的5個(gè)關(guān)鍵成功要素，即

●安全開發(fā)管控流程

●安全開發(fā)知識(shí)庫及工具

●安全人員組織

●度量與評(píng)價(jià)指標(biāo)

●持續(xù)優(yōu)化

圍繞上述要素，綠盟科技安全服務(wù)團(tuán)隊(duì)設(shè)計(jì)了基于SDL和DevSecOps的安全開發(fā)能力提升服務(wù)方法論和整體框架，并構(gòu)建安全開發(fā)能力平臺(tái)輔助安全服務(wù)的實(shí)施過程，通過基于服務(wù)能力的平臺(tái)產(chǎn)品實(shí)現(xiàn)對(duì)實(shí)施過程中各類安全開發(fā)資源的集成與管控：

●Jenkins、Gitlab等DevOps工具鏈的集成

●6種代碼安全審計(jì)工具以及超過3000條規(guī)則的定制與梳理;

●專家級(jí)知識(shí)庫

○基于威脅建模的威脅庫

○900條+，針對(duì)4大類應(yīng)用安全、通信安全、系統(tǒng)部署運(yùn)維安全、典型業(yè)務(wù)場(chǎng)景安全的安全需求庫

○覆蓋82個(gè)場(chǎng)景，540個(gè)安全設(shè)計(jì)的安全設(shè)計(jì)庫

借助安全開發(fā)能力平臺(tái)可以大程度上將安全開發(fā)的管控時(shí)間點(diǎn)左移，從而在持續(xù)集成階段即解決代碼安全問題，并通過專家級(jí)知識(shí)庫的構(gòu)建，降低了組織對(duì)于無論是“Dev”、“Sec”或者“Ops“人員的安全能力要求，并通過綠盟科技具有豐富的全行業(yè)項(xiàng)目經(jīng)驗(yàn)的安全服務(wù)顧問進(jìn)行全程現(xiàn)場(chǎng)輔導(dǎo)，協(xié)助企業(yè)完成跨部門的安全文化構(gòu)建和流程打穿，最終實(shí)現(xiàn)安全開發(fā)工作的全程閉環(huán)。

關(guān)于DecSecOps社區(qū)

由DecSecOps社區(qū)組織的2019年的RSA CDevSecOpsday的活動(dòng)熱度超出預(yù)期，同樣對(duì)比CSA社區(qū)的熱度已經(jīng)明顯下降，其推出的讀物以及海報(bào)均下載，是了解DevSecOps技術(shù)和文化的重要窗口。會(huì)議現(xiàn)場(chǎng)DevSecOp社區(qū)通過對(duì)負(fù)責(zé)“造輪子”的安全廠商與注重實(shí)踐經(jīng)驗(yàn)分享的第一方進(jìn)行空間上的分割，也一定體現(xiàn)了DecSecOps社區(qū)的業(yè)界生態(tài)理念。相信在下一屆的DevSecOps上會(huì)看到ShiftLeft等創(chuàng)新沙盒中異軍突起廠商的加入。

社區(qū)廠商

社區(qū)讀物

DevSecOps海報(bào)