什么是 DevSecOps（DevOps 安全）？

DevSecOps 是开发、安全和运营的融合。它是一种组织模式，旨在从软件开发生命周期 (SDLC) 的开始到结束都采用安全性。

以前，安全性是在开发完成后在生命周期的后期添加到应用程序中的。敏捷开发实践以及云平台、微服务和容器的进步使得这变得不切实际，因为安全性无法跟上快速发布的步伐。

DevSecOps 通过将安全性与 DevOps 集成来解决这个问题。安全性成为持续集成 (CI) 和持续交付 (CD) 管道中不可或缺的自动化部分，并且是所有团队共同承担的责任。开发人员从开发项目一开始就了解安全实践并实施它们。

这是有关黑客攻击的广泛指南系列的一部分。

在本文中：

• DevSecOps 的好处和挑战
• 什么是 DevSecOps 管道？
  • 威胁建模
  • 安全测试
  • 分析和优先级排序
  • 补救措施
  • 监控
• 什么是 DevSecOps 工具？
• DevSecOps 最佳实践
  • 安全性左移
  • 安全培训
  • 职场文化
  • 可观察性和监控

DevSecOps 的好处和挑战

DevSecOps 提供以下优势：

• 快速、经济高效的交付——传统的软件开发方法常常因安全问题而导致巨大的瓶颈和延迟。解决安全缺陷和修复代码通常既耗时又昂贵。DevSecOps 能够实现更快、更安全的软件交付，从而节省时间并减少技术债务，从而通过减少交付周期结束时重复流程的需要来降低成本。
• 主动的安全方法——DevSecOps 在软件开发周期开始时引入安全流程，并确保代码在整个开发流程中通过持续的审查、审计、测试和扫描。开发团队可以在发现安全问题时立即解决，并在引入更多依赖项之前修复问题。这种方法使安全性更加有效且成本更低。
• 快速漏洞修复——DevSecOps 帮助团队快速识别安全漏洞并尽早应用补丁。它将漏洞检测和修补集成到开发周期中，以防止有漏洞的软件发布。早期修补还可以减少威胁行为者利用漏洞的机会，尤其是公开暴露的常见漏洞和暴露 (CVE)。
• 自动化驱动的开发——DevSecOps 团队可以将安全测试集成到自动化测试套件中，从而简化操作。组织可以利用持续集成/持续交付 (C/CI) 管道来自动化开发和安全流程。

DevSecOps 的主要目标是在开发生命周期的早期引入安全流程，帮助减少漏洞并使 IT 和业务目标与安全要求保持一致。

然而，组织在采用 DevSecOps 时也可能面临障碍，特别是如果他们缺乏适当的治理策略、技术和专业知识。通常，需要雇用或再培训员工来提供安全技能并调整开发团队的职责。缺乏具有 DevSecOps 经验的安全专业人员，开发人员往往难以接受安全驱动的文化。

每个组织都面临着独特的挑战，必须为其现有基础设施、策略和业务需求确定最佳的 DevSecOps 策略。企业可以克服这些挑战，尤其是在管理、开发、IT 和安全团队认识到实施 DevSecOps 的好处之后。

详细了解DevOps 和安全性之间的紧密联系

什么是 DevSecOps 管道？

以下是 DevSecOps 管道的主要阶段。这些是与传统 DevOps 管道阶段一起发生的面向安全的阶段，例如规划、开发、测试和部署。

1. 威胁建模

威胁建模概述了可能的攻击场景，描述了敏感数据流、漏洞和潜在的缓解选项。此步骤有助于缩小安全漏洞并提高团队中每个人的安全知识。

2. 安全测试

扫描是分析代码、工件和运行软件以识别安全漏洞的过程。这包括手动和自动代码审查、应用程序安全工具，例如静态/动态应用程序安全测试 (SAST/DAST)、漏洞评估和渗透测试。此步骤允许开发人员在软件开发生命周期的早期解决安全漏洞和错误。

3. 分析和优先级排序

分析阶段通过审查安全测试期间收集的所有数据和指标来识别安全风险。然后将这些风险汇总到一个列表中，并根据其潜在的业务影响和利用的可能性进行优先级排序。

4. 补救措施

在前面的步骤中识别出安全漏洞后，团队将采取措施修复这些漏洞。持续测试工具和渗透测试等流程为如何解决安全漏洞提供了可行的指导。然后，团队可以按优先级顺序解决漏洞。

5. 监控

监控涉及跟踪应用程序的整体安全状况，以识别在生产中运行时可能发生的新漏洞或错误配置。此外，监控对于发现威胁和安全漏洞至关重要。当发现威胁或发生违规时，应吸取教训以改进 DevSecOps 流程并防止将来发生类似事件。

什么是 DevSecOps 工具？

工具是 DevSecOps 不可或缺的一部分。这是因为在快速变化的 DevOps 环境中，安全性必须自动化并与 CI/CD 管道紧密集成。

DevSecOps 工具具有三个主要目标：

• 持续安全测试——在安全漏洞发生时立即检测到它们，最大限度地降低风险并允许快速修复，而不会减慢开发流程。
• 支持安全团队——轻松监控和控制开发项目，而无需手动审查和批准每个版本。
• 支持开发团队——协助开发人员应用安全编码实践。自动化工具可以在开发的各个阶段向开发人员通知安全问题，以实现快速修复并促进开发人员安全教育。

DevSecOps 最佳实践

DevSecOps 是将安全流程和控制无缝集成到开发和交付管道中。以下是一些有助于确保有效实施 DevSecOps 的最佳实践。

安全性左移

左移是 DevOps 的核心原则，进而延伸至 DevSecOps。它涉及将流程（在本例中为安全性）从交付流程的末尾移动到开始，即管道的“左侧”。DevSecOps 环境将安全性置于开发生命周期的开始，要求软件和安全工程师与开发团队协作。

DevSecOps 团队共同负责确保每个组件和配置的安全。每个团队成员都必须实施安全补丁并记录他们的流程。将安全性左移使团队能够及早发现安全风险，从而能够立即修复安全威胁并促进快速、平稳的交付周期。除了传统的构建过程之外，开发人员还考虑安全性。

安全培训

安全性需要合规性和软件工程流程的结合。开发人员、软件工程师和安全专家应与合规部门密切合作，让每个人都了解组织的最新安全策略。所有员工都应定期接受培训，以确保他们了解自己的职责。

参与软件交付过程的所有个人都必须熟悉基本的应用程序安全原则，包括了解开放 Web 应用程序安全项目 (OWASP)、安全测试流程和软件工程最佳实践。开发人员必须了解威胁模型和合规性评估。他们应该知道如何识别和衡量安全风险和暴露并应用安全控制。

职场文化

成功的 DevSecOps 需要一种拥抱变革并认真对待安全的工作场所文化。组织的领导层应鼓励协作态度并促进沟通，以实现统一的安全工作。开发人员和软件工程师必须掌控纳入交付周期的安全流程。

DevSecOps 团队应该建立一个包含适当实践和技术的系统。团队应该可以自由地创建适合其需求的工作流程环境，让每个团队成员都为项目的成功投入。

可观察性和监控

维护安全需要持续监控和可观察性解决方案，以提供安全见解并帮助跟踪开发环境的风险。有效的可观察性策略应包含以下要素：

• 可见性——查看开发和安全流程的能力对于维护 DevSecOps 环境至关重要。组织必须使用监控系统来衡量操作、生成警报并提供威胁和攻击意识。可见性对于确保整个项目生命周期的责任非常重要。
• 可追溯性——组织必须能够跟踪整个开发流程中的安全配置和代码问题。它对于实施控制至关重要，可以帮助组织保持合规性、最大限度地减少错误、保护代码并促进代码修复。
• 可审计性——组织必须进行审计以遵守内部安全政策和政府法规。所有安全控制措施都必须可审核且有详细记录。

DevSecOps 与 Lvbug

Lvbug 将全球最大的道德黑客社区的专业知识与编排工作流程、测试程序、范围界定和报告的无缝平台相结合，帮助组织加快 DevSecOps 之旅。

Lvbug 跨越了开发和安全团队的需求：

• 帮助应用程序开发团队交付缺陷更少的软件
• 促进安全和开发团队之间的协作和信任
• 通过教育开发人员寻找减少漏洞的方法来扩展安全范围
• 优化安全实践，以满足现代应用程序开发和部署所需的规模和速度
• 提高对合规性、法律和监管要求的遵守

通过使用 Lvbug 的解决方案更快地实现 DevSecOps，组织将发布具有更强抗攻击能力的应用程序，同时保持 DevOps 管道的速度。

了解有关Lvbug安全平台的更多信息。 

请参阅我们关于关键网络安全主题的附加指南

我们与我们的内容合作伙伴一起编写了有关其他几个主题的深入指南，这些指南在您探索网络安全世界时也很有用。

攻击面

• 什么是攻击向量以及保护您的组织的 8 种方法
• 什么是攻击面管理和 5 步 ASM 流程
• 什么是外部攻击面管理 (EASM)？| 黑客服务

漏洞评估

• 什么是漏洞扫描？[以及如何正确地做] 
• 漏洞管理：成功修复的 4 个步骤
• 5 步安全风险评估流程

命令注入

作者：Lvbug

• 代码注入示例：发现和预防攻击指南
• PHP 代码注入：示例和 4 个预防技巧