2020年RSA大会于2月24日至28日在美国旧金山召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。DevSecOps任然是大家关注的焦点之一。RSA创新沙盒是全球网络安全风向标,今年进入十强的安全厂商中近半数聚焦在应用安全领域。BluBracket和ForAllSecure是今年DevSecOps领域的创新厂商代表。我在整理一下近几年DevSecOps的发展。
DevSecOps是自2017年首次引入RSA大会,在研讨会上Shannon Lietz做了《下一代安全需要你!》的专题分享,提出了DevSecOps是一套体系化的方法论,由战略驱动,一种通过初始创建并依据真实有效反馈的持续改进实现产品价值、运维、爱亲人等个各方面需求的实践,通过开发、运维和安全团队对共同努力将安全和合规作为属性嵌入整个流程,并获得配套工具链支撑。业内同行对DevSecOps主体内容有了基本共识,论证了DevSecOps对于企业组织现有IT开发与运营模式的颠覆性影响。通过在软件开发生命周期的早期融入安全环节来降低风险和成本,例如对开发人员、测试人员的安全意识培训、制定安全编码规范并实施培训,安全人员介入需求梳理、源代码审计、上线前安全审查等。实现了软件安全保障工作的左移。DevSecOps也强调快速迭代的开发方式,强调在CI/CD中的安全测试工作,安全需求、安全测试以及测试结果与需求管理工具和缺陷管理工具对接等,强调了每个阶段的工具之间的协作,实现工作状态、交付成果等在工具之间高效流转。
2018年RSA大会提出了”Golden Pipeline”(黄金工作流)概念,强调自动化工具链支撑。是指一套通过稳定的、可落地的、安全的方式自动化地进行CI/CD的软件研发工作流,这其中工具链的自动化支撑程度是降低成本、实现快速迭代的关键因素。关键安全活动包括:“Golden-Gate”、AST应用安全测试、SCA第三方组件成分分析和RASP运行时应用自我保护。Golden-Gate黄金门,其实就是质量门或安全门,相当S-SDLC中的bug 栏或质量门。这个活动中,目的是制定安全阈值或门限,也是软件可以接受的最低安全标准,应该也是采用威胁分析和安全建模得到需要后续流程中应该进行达到的安全设计、安全实现、安全测试验证需要达到的目标。AST应用安全测试,则包括了SAST、DAST和IAST三类安全测试技术。SCA则是针对软件中的开源软件(OSS)和第三方库软件锁涉及到的框架、组件、库等,识别软件成分清单并识别其中的已知漏洞。RASP则主要是在运营中进行安全检测和安全阻断。
2019年 RSA 大会上,强调了DevSecOps落地实践过程中文化融合的意义,并期望通过CI/CD以及有效度量机制来实现效率提升。红队文化和开发者的冲突和融合是本届会议的重点话题之一。安全专家Larry Maccherone提出了DevSecOps宣言,强调DevSecOps融合文化的建立需要对组织重新设计,将安全人员融入每个开发团队,使得掌握安全能力的专家深入业务、开发、运维等各工作活动,让DevSecOps真正创造价值,避免成为效率瓶颈。
2020年 RSA大会上,将风险管理、合规与治理融入DevSecOps的实践探索。研讨了企业如何向DevSecOps转型以及过程中可能所面临的障碍,如何从公司各层面上获得支持,包括DevSecOps人才招聘、培养也是需要考虑的重要方面。
从DevSecOps 在2017 RSA大会上提出至今,体系和架构越来清晰,相关的方法论、技术和相应的工具也日益成熟,国内很多企业也正在该方面的研究和建设,相信未来几年,DevSecOps话题越来越多,我们拭目以待。
在建设DevSecOps过程中,工具链中的SAST工具和SCA工具,我们的产品已经非常成熟,能够提供自主可控的产品和定制化服务,欢迎咨询。
关注安全 关注作者
