為何安全開發要左移 DevSecOps如何落地實踐？

隨著世界越來越多地轉向云和數字化一切，組織的風險態勢也發生了變化。將安全嵌入業務已經成為了組織發展必然的要求。

Netflix、Github、Square 等許多表現出色的公司已經證明，將安全性集成到編寫、構建和交付代碼中是改善整體安全狀況的最有效的方法之一，這也解釋了為什么 DevSecOps 為何會成為當前最火熱的安全趨勢。 隨著 DevOps 的質量和生產力優勢的進一步凸顯，安全分層和DevSecOps 的 “左移”作為下一個合乎邏輯的步驟。

然而，即使在 2022 年，許多組織仍處于接入DevSecOps的早期階段。在安全開發的過程中，安全團隊扮演的角色仍然微乎其微，導致安全性不是從一開始就集成到 SDLC 流程中，而是在部署后通過漏洞掃描程序和滲透測試進行附加。

但值得慶幸的是，企業界已經認識到安全開發的重要性，并開始嘗試實施 DevSecOps 實踐。云安全聯盟 (CSA) 的一份調查報告發現，89% 的組織正在積極采用 DevSecOps。這些組織中的大多數已經進入到 DevSecOps 的規劃、設計或實施的不同階段，這代表著DevSecOps市場存在著旺盛的發展動力。

在這些早期階段，安全性必須受到開發團隊的擁抱，并在開發生命周期中根深蒂固。正確地“左移”意味著傾向于“安全是每個人的責任”的理念，并使安全與開發全流程無縫銜接，而不是發生在產品部署之后。

DevSecOps在落地實踐需要注重哪些因素？

● 文化和心態比工具更重要。首先應該承認自動化和工具很重要，但采用 DevSecOps 始于文化轉變。從將“安全是安全團隊的事情”轉變為“安全是大家的共同責任”，安全需要每一個人為之付出時間、努力和奉獻精神。

● 軟件成分分析(SCA) 必須成為優先事項。供應鏈攻擊、非授權軟件和像Log4Shell這樣的開源漏洞已經清楚地表明了保護庫和依賴關系的重要性。今天的應用程序依賴于來自第三方的大量軟件，一個軟件包中的安全漏洞可能會產生巨大的連鎖反應。

● DevSecOps工具需要消除安全方面的摩擦。為了使 DevSecOps 更有效，安全需要直接集成到軟件交付管道中。如果安全集成造成瓶頸并阻礙生產力，開發團隊就會嘗試繞過它們。安全性必須成為開發人員編寫、構建和部署方式的一部分，而不是一個單獨的過程。這就是為什么 DevSecOps 工具必須與 DevOps 工作流緊密集成的原因。

● DevSecOps 工具需要處理合規性挑戰。許多企業必須遵守 HIPAA、PCI-DSS 和 SOX 等標準,但跟上所有的審計、掃描和要求通常需要大量的手動工作。一些簡化合規流程的代碼合規工具將會幫助企業解決這一問題，通過使用 DevSecOps 工具和實踐簡化合規流程，團隊可以展示業務價值并幫助創建積極的反饋循環，以更廣泛地采用 DevSecOps。

總而言之，大多數組織都希望采用 DevSecOps 實踐，但他們當前的實踐更接近于傳統的瀑布方法，而不是 DevSecOps 宣言中描述的敏捷實踐。 因此，大多數企業面臨的直接障礙是克服與人員和流程相關的挑戰。對于 DevSecOps 服務和解決方案的提供商，重點應該是消除集成安全性的摩擦，并幫助團隊團結起來，讓安全成為每個人的責任。