數(shù)據(jù)安全問(wèn)題，引發(fā)了一種全新的開(kāi)發(fā)理念DevSecOps（開(kāi)發(fā)安全運(yùn)維）的應(yīng)運(yùn)而生。

本文作者：吳翔，上海鑒釋科技公司產(chǎn)品開(kāi)發(fā)總監(jiān)

近年來(lái)，移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展給人們帶去不少便利，在軟件安全領(lǐng)域內(nèi)，一種名為敏捷開(kāi)發(fā)的模式正悄然流行，而可打破業(yè)務(wù)隔離、提高效率的DevOps（開(kāi)發(fā)運(yùn)維）也受到了廣泛歡迎。DevOps是開(kāi)發(fā)（Development）與運(yùn)維（Operations）相結(jié)合的稱呼。在DevOps理念下，軟件開(kāi)發(fā)人員和運(yùn)維人員緊密合作，以促進(jìn)軟件及應(yīng)用更有效率的進(jìn)行快速迭代。

然而，軟件開(kāi)發(fā)周期的縮短也帶來(lái)了一些弊端。相比擁有更長(zhǎng)開(kāi)發(fā)周期，為確保軟件穩(wěn)定性與安全性提供充足時(shí)間的傳統(tǒng)開(kāi)發(fā)模式，敏捷開(kāi)發(fā)模式由于軟件版本頻繁迭代，開(kāi)發(fā)周期被壓縮，出現(xiàn)安全漏洞的可能性也就更大。

DevSecOps，將安全植入開(kāi)發(fā)運(yùn)維骨髓

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》稱，國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄的安全漏洞數(shù)量創(chuàng)下了歷史新高，同比上年增長(zhǎng)14%，其中應(yīng)用程序漏洞（56.2%）、Web應(yīng)用漏洞（23.3%）和操作系統(tǒng)漏洞（10.3%）占比前三。

圖1: 2019 年 CNVD 收錄的安全漏洞占比按影響對(duì)象類型分類統(tǒng)計(jì)（來(lái)源：CNCERT/CC）

數(shù)據(jù)背后，無(wú)數(shù)教訓(xùn)已讓眾多開(kāi)發(fā)團(tuán)隊(duì)和企業(yè)意識(shí)到了安全的重要性，以及安全問(wèn)題所引發(fā)的災(zāi)難性后果。一種全新的開(kāi)發(fā)理念DevSecOps（開(kāi)發(fā)安全運(yùn)維），就這樣應(yīng)運(yùn)而生。開(kāi)發(fā)團(tuán)隊(duì)需要在軟件開(kāi)發(fā)的整個(gè)生命周期內(nèi)將Sec，即安全（Security）融入DevOps實(shí)踐。要在DevOps里嚴(yán)格地執(zhí)行安全理念和活動(dòng)，除了展開(kāi)定期的安全培訓(xùn)以外，還需要安全團(tuán)隊(duì)進(jìn)行攻防演練等。

要將DevSecOps這種新的組合工作模式付諸實(shí)踐，首先需要所有的團(tuán)隊(duì)及成員都具備嚴(yán)謹(jǐn)?shù)陌踩季S。然而DevSecOps在企業(yè)內(nèi)部的落地往往會(huì)遇到阻力，一是高層領(lǐng)導(dǎo)不給予足夠的重視和支持，業(yè)務(wù)負(fù)責(zé)人也不鼓勵(lì)加強(qiáng)安全措施，二是DevOps實(shí)踐的初衷是加速開(kāi)發(fā)流程，而加入安全監(jiān)督環(huán)節(jié)則被認(rèn)為與DevOps所追求的高速開(kāi)發(fā)背道而馳。

如果將軟件產(chǎn)品開(kāi)發(fā)生命周期比作一段道路，起點(diǎn)是需求分析，終點(diǎn)是產(chǎn)品交付。人們步行抵達(dá)終點(diǎn)，猶如采用傳統(tǒng)的軟件開(kāi)發(fā)模式。而采用DevOps的敏捷模式，利用輔助工具產(chǎn)品及平臺(tái)，就好比坐上了一輛車，可以開(kāi)車快速地抵達(dá)終點(diǎn)。但若車開(kāi)太快且車速不可控，則很容易發(fā)生安全事故。我們需要的應(yīng)當(dāng)是具備精良速度控制機(jī)制和剎車系統(tǒng)的，安全可靠的載具。

AST，多行業(yè)應(yīng)用安全漏洞檢測(cè)不可或缺

為了幫助企業(yè)提升產(chǎn)品研發(fā)效率和質(zhì)量，同時(shí)實(shí)現(xiàn)DevOps和Sec兩個(gè)目標(biāo)，可在軟件開(kāi)發(fā)的初期便進(jìn)行介入和預(yù)防，借助工具提升代碼安全檢測(cè)的效率。因此AST（應(yīng)用程序安全漏洞測(cè)試）軟件成為了首要選擇。AST領(lǐng)域包含SAST（靜態(tài)測(cè)試）、DAST（動(dòng)態(tài)測(cè)試）和IAST（交互式測(cè)試）這三類測(cè)試方法。

如果開(kāi)發(fā)者能在左移測(cè)試（Shift-Left Testing），即在開(kāi)發(fā)生命周期的初期使用SAST工具，則可以有效地提升代碼檢測(cè)的準(zhǔn)確性和效率，極大地降低時(shí)間、資金、人力等資源的消耗。而市場(chǎng)對(duì)于SAST工具的核心要求便是掃描效率高、速度快、準(zhǔn)確率高。鑒釋目前提供的SAST核心產(chǎn)品就可以有效融入軟件開(kāi)發(fā)生命周期（SDLC）中，為DevSecOps實(shí)踐提供最大的幫助，鑒釋IAST產(chǎn)品的開(kāi)發(fā)也正在快速進(jìn)行中。

目前除了IT行業(yè)，許多傳統(tǒng)行業(yè)，例如金融、能源、工業(yè)、教育、醫(yī)療等都有軟件安全的需求， 此時(shí)AST類的工具就該上場(chǎng)了。但面對(duì)多場(chǎng)景的應(yīng)用，安全團(tuán)隊(duì)不應(yīng)該一味照搬公式，而是應(yīng)該像給軟件和代碼做診斷的醫(yī)生一般詳細(xì)地了解、分析應(yīng)用的行業(yè)背景、需求、痛點(diǎn)以及未來(lái)計(jì)劃等。缺乏細(xì)致、持續(xù)溝通的解決方案只能解決一時(shí)之急，鑒釋立足于目前核心的SAST產(chǎn)品，細(xì)心打磨自主解決方案，提供更快速、高效、持續(xù)的響應(yīng)，已經(jīng)幫助多行業(yè)的開(kāi)發(fā)團(tuán)隊(duì)安全、快速的走完開(kāi)發(fā)周期。

除了工具提供的輔助外，團(tuán)隊(duì)上下對(duì)安全的重視程度也相當(dāng)重要。Gitlab今年發(fā)布的第四次全球DevSecOps年度報(bào)告稱，安全團(tuán)隊(duì)不再是“局外人”，開(kāi)發(fā)和運(yùn)維人員的跨團(tuán)隊(duì)緊密合作達(dá)到了前所未有的程度。“安全”，則變成了團(tuán)隊(duì)每個(gè)成員都應(yīng)該秉持的理念。該報(bào)告數(shù)據(jù)顯示，近30%的受訪者認(rèn)為團(tuán)隊(duì)內(nèi)的每個(gè)人都應(yīng)當(dāng)將軟件安全視作己任，而20%的受訪者認(rèn)為開(kāi)發(fā)人員也應(yīng)挑起軟件安全的大梁，而不是只拘泥于開(kāi)發(fā)。

圖2：Gitlab對(duì)于團(tuán)隊(duì)內(nèi)部安全責(zé)任分擔(dān)問(wèn)題的調(diào)查結(jié)果

該調(diào)查結(jié)果無(wú)不標(biāo)志著安全責(zé)任正從原來(lái)的安全運(yùn)維團(tuán)隊(duì)逐漸擴(kuò)大至軟件開(kāi)發(fā)團(tuán)隊(duì)內(nèi)的每個(gè)成員身上，開(kāi)發(fā)人員和運(yùn)維團(tuán)隊(duì)之間的界限越來(lái)越模糊，即將Sec深深融入DevOps骨髓之中。

作者簡(jiǎn)介

吳翔，上海鑒釋科技公司產(chǎn)品開(kāi)發(fā)總監(jiān)，主要負(fù)責(zé)內(nèi)部DevOps流程管理、產(chǎn)品測(cè)試及客戶售后的技術(shù)支持和服務(wù)。

關(guān)于鑒釋

鑒釋的使命是通過(guò)創(chuàng)建簡(jiǎn)單操作的工具來(lái)協(xié)助開(kāi)發(fā)人員構(gòu)建并調(diào)配安全可靠的代碼。鑒釋成立于2018年，由擁有數(shù)十年開(kāi)發(fā)經(jīng)驗(yàn)的世界級(jí)軟件專家創(chuàng)辦，并在深圳、北京、上海和香港設(shè)立了辦事處。鑒釋提高了代碼的審計(jì)、評(píng)估和缺陷檢測(cè)的速度和準(zhǔn)確性。我們通過(guò)使用高級(jí)靜態(tài)分析技術(shù)幫助客戶降低成本，提高生產(chǎn)力，并確保其軟件開(kāi)發(fā)人員具備相應(yīng)的能力以開(kāi)發(fā)更好、更可靠的軟件。

最后，記得關(guān)注微信公眾號(hào)：鎂客網(wǎng)（im2maker），更多干貨在等你！