如果有人問,在這個時代下,是什么在改變技術生態(tài)?得到的答案可能是物聯(lián)網(wǎng)、人工智能、機器人技術或一些即將出現(xiàn)的新事物。而DevSecOps(開發(fā)、安全和運營)的出現(xiàn),可以說是一種可推動當下的“應用驅動型”全球經(jīng)濟的方法。F5 亞太地區(qū)安全專家Shahnawaz Backer分享了基于DevSecOps 實現(xiàn)安全性的理念。
DevSecOps 提倡從一開始就將安全性集成到開發(fā)工作流程中。換句話說,DevOps 將軟件開發(fā)和操作融合在一起,將消除孤島當作一種文化,從而可以快速改進并提升性能。
“安全性設計”原本被認為是技術提供商經(jīng)常過度宣傳的概念,而在DevSecOps平臺中,安全性從根本上得以實現(xiàn)。
DevOps 需要一種新的思維模式來擁抱這種軟件開發(fā)的新方法。DevSecOps 是一種方法論,要求從業(yè)者在持續(xù)集成和交付(CI/CD)過程中優(yōu)先考慮安全性?,F(xiàn)實情況是,許多開發(fā)人員并不是安全專家,反之亦然,許多安全專家也不做開發(fā)工作。
那么,安全如何得以更好地集成到軟件開發(fā)的全生命周期(SDLC)中去呢?F5 安全專家指出,在DevOps 環(huán)境下,應用的開發(fā)通常是個快節(jié)奏且動態(tài)的過程。對于這個問題,還需要借助那些用來幫助組織跟上進度的安全測試工具和最佳實踐。
如今,企業(yè)面臨的應用程序環(huán)境變得越來越復雜,應用程序的更新迭代從每年更新一次,到如今的幾乎每天都在進行更新,節(jié)奏被極大地提高了。由于DevSecOps流程并不總是那么簡單,IT部門需要深入研究其通道,以了解信息的類型和隨后可能出現(xiàn)的潛在漏洞,進而獲得成功的衡量標準。
DevSecOps 要求確保IT安全和應用程序安全成為每個人的職責,從使用的安全測試工具,到讓安全團隊從早期便加入到與客戶的溝通中,都體現(xiàn)出它貫穿全生命周期的要求。
DevOps 從業(yè)者在初涉DevSecOps 時遇到的另一個問題是速度問題。比如,當部署應用程序安全工具(AST)時,IT 團隊通常希望留有充裕的時間用以執(zhí)行,以確保其可靠性。然而,這對于對速度和敏捷性有要求的組織來說,就會成為一個小缺憾。組織需要考量并盡量減少時間成本帶來的影響。
還有一些實際問題,比如,確保工具和技術在容器中的工作狀態(tài)達到最佳效果,甚至確保所使用的AST工具不會對容器的可拓展性帶來負面影響。然而,如果AST 工具的圖像占用空間很大,或者依賴于必須將數(shù)據(jù)存儲在容器中,就可能會發(fā)生這種情況。但是,AST 工具的運行也需要時間,并且它們會降低整個CI/CD 通道的速度。
有趣的是,CI/CD 通道其實從來沒有在概念上將安全性列為首要考慮的性能,而是更多的考慮速度和便利性。隨著DevSecOps 概念和方法的引入,開發(fā)過程中的每個人都有責任確保安全。然而,這會導致開發(fā)速度緩慢,因而這種方法就被視為創(chuàng)新的攔路虎。其實,只有將安全性放在首位,IT 組織才可以避免因安全威脅而造成的損失和損害。
最后,F(xiàn)5 安全專家提醒,鑒于DevOps 快速迭代的特性,人們應該關注其改進的速度,并將安全性作為一個“必備的特性”。因為時至今日,安全已經(jīng)不再只是一個“關鍵性能”。在DevOps 和DevSecOps 充分融合之前,后者將在各種環(huán)境下充當臨時分支,以突出安全性在應用程序開發(fā)中的作用。