Devsecops实施指南（英）

实施 DevSecOps的指南 通过威尔凯利 我们是Opensource.com Opensource.com是一个社区网站，发布有关创建、采用和共享开源解决方案的故事。访问Opensource.com，了解更多关于开源方式如何改进技术、教育、商业、政府、健康、法律、娱乐、人道主义工作等的信息。 你有一个开源故事要讲吗？在opensource.com/story提交故事创意给我们发送电子邮件至 open@opensource.com 目录 ....................................................................................................................................................................4 启动DevOps到DevSecOps的转变8 使DevSecOps采用成为团队努力的4个步骤11 遵循DevSecOps成熟度模型13 启动DevSecOps转型的3个阶段15 3DevSecOps转型的更多阶段19 威尔凯利 WillKelly是一名产品营销人员和作家。他的职业生涯一直致力于撰写署名文章、白皮书、营销资料以及有关云和DevOps的技术内容。 Opensource.com、TechTarget、InfoQ等发表了他关于DevOps和云的文章。他在北弗吉尼亚地区生活和工作。在Twitter上关注他：@willkelly。 DevSecOps：一个开源的故事 最近的供应链漏洞，加上拜登总统的新网络安全行政命令，正在重新引起人们对DevSecOps对企业价值的关注。DevSecOps将文化变革、框架和工具带入开源软件(OSS)。要了解DevSecOps，就必须了解它与OSS的关系。 什么是DevSecOps？ 就其最纯粹的形式而言，DevOps（它是开发和运营的结合）是一种在软件交付生命周期中打破程序员和系统管理员之间传统孤岛的方法。企业和政府机构出于各种原因采用DevOps，包括提高软件交付速度以更好地为客户服务。 DevSecOps将安全性添加到DevOps中，进一步细化概念以通过自动化解决代码质量、安全性和可靠性保证，从而实现持续的安全性和合规性。寻求遵守SarbanesOxley(SOX)、支付卡行业数据安全标准(PCIDSS)、FedRAMP和类似计划的组织是实施DevSecOps的候选者。 例如，寻求FedRAMP合规性的联邦政府机构应该使用DevSecOps，因为它使他们能够将安全自动化融入软件开发过程的每个阶段。同样，受托处理敏感个人医疗保健信息(PHI)的医疗保健机构需要DevSecOps来确保其云应用程序满足HIPAA合规性要求。 您越将安全缓解措施向左移动以解决开发中的这些问题，您节省的资金就越多。您还可以避免潜在的负面头条新闻，因为您的团队不必对生产中的问题做出响应，在生产环境中，补救成本可能会比您在开发环境中发现的问题高得多。 您可以将从DevOps迁移到DevSecOps视为DevOps旅程中的另一个步骤。但这更像是您的开发组织和整个业务的转型。这是一个典型的框架： 1.分析、交流和教育：这包括分析您的开发过程成熟度；为您的组织定义DevSecOps；并通过持续的反馈和交互、团队自治以及自动化和架构来培养DevSecOps文化。 2.将安全性集成到您的DevOps生命周期中：确保您的DevOps和安全团队协同工作。 3.将自动化引入您的DevOps生命周期：从小型开发项目开始，逐步扩展您的自动化策略。 4.就DevOps工具链的安全更改进行协作：让您的开发和安全团队共同开展项目，以强化您的 DevOps工具链。 5.在DevSecOps上执行：让您的团队充分参与DevSecOps工具链和新流程。 6.鼓励持续学习和迭代：为您的开发人员和系统管理员提供培训和反馈机制，以支持开发人员的性能和工具链的健康。 我们正处于软件开发历史上的一个独特时刻，提高安全性和加快软件开发速度的需求正处于十字路口。尽管DevOps在提高速度方面做了很多工作，但总有更多工作要做。 DevSecOps的增长 DevSecOps的增长在合规性和安全意识领域可见一斑。例如，它在具有安全意识的美国国防部内部拥有越来越多的追随者。平台One等项目正在树立榜样，说明DevSecOps实践如何在最注重安全的政府任务中保护开源和云技术。 根据Gartner的2020年敏捷和DevOps炒作周期，DevSecOps在行业内的渗透率为20%到50%。随着组织将应用程序开发转移到云中，这种流行病成为DevSecOps的催化剂。 DevSecOps的挑战 即使您将DevSecOps视为您DevOps旅程中的另一个步骤，您也可以期待您的工具链、您的DevOps和安全团队中的角色以及您的团队如何交互的变化。超过60%的GitLab2021年全球DevSecOps调查的受访者报告新 由于DevOps的角色和责任，因此请提前准备好您的员工并将意外事件降到最低。您可以采用多种开源DevSecOps工具来构建您的DevOps管道，包括： •Alerta整合和删除来自多个来源的警报，以提供快速的可视化。它集成了Prometheus、Riemann 、Nagios和其他面向开发人员的监控工具和服务。您可以使用Alerta自定义警报以满足您的要求 。 •StackStorm提供事件驱动的自动化，提供脚本化补救和响应。一些用户亲切地称其为 “IFTTTforops”。 •Grafana允许您创建自定义仪表板，聚合所有相关数据以可视化和查询安全数据。 •OWASPThreatDragon是一个基于Web的工具，它提供系统图表和规则引擎，用于自动建模和缓解威胁。ThreatDragon吹捧易于使用的界面以及与其他软件开发工具的无缝集成。 DevSecOps带来了一种文化，就像DevOps所做的一样。培养DevSecOps文化就是将安全放在首位，并让每个人都参与其中。DevSecOps组织需要超越强制性的公司范围内的在线安全培训，通过预设对话将安全性引入开发和业务流程。 DevSecOps和开源风险缓解 企业甚至政府机构使用多达90%的开源代码。这有时会在单个应用程序中占用数百个离散库。毫无疑问，OSS可以节省DevOps团队的时间和金钱，但可能需要DevSecOps安全模型来降低OSS风险和许可复杂性。 在Synopsys的2020年DevSecOps实践和开源管理调查中，46%的受访者表示，媒体对开源问题的报道会影响他们在OSS项目中实施控制的方式。对近期供应链违规事件的持续报道加剧了技术领导者对其控制严格性的担忧。 OSS风险缓解策略和DevSecOps在许多方面结合在一起，例如： •在OSS进入您的软件供应链之前，开始生成软件物料清单(SBOM)作为质量门。 •通过从您的开发、安全和 企业后台团队。您可以调整您的DevSecOps生命周期以考虑您的OSS采购策略。 最后的想法 DevSecOps现在是一个嘈杂的话题。许多营销人员正试图将其定义为向商业和公共部门企业销售更多产品。即便如此，OSS和DevSecOps之间的关系仍然清晰，因为DevSecOps工具和策略提供了一个安全门，可以将OSS带入软件供应链和您的DevSecOps管道，同时从流程的第一步开始就保持安全性和合规性。 启动DevOps到DevSecOps的转变 DevSecOps的广泛采用是不可避免的。作为瀑布式软件开发生命周期(SDLC)的一部分，安全性和交付速度是不切实际的期望。企业和政府机构一直承受着向客户、选民和员工提供新特性和功能的压力。最近备受瞩目的软件供应链漏洞和拜登总统关于改善国家网络安全的行政命令也增加了企业和政府转向DevSecOps的紧迫性。 所有这一切意味着，您的企业迟早需要将安全性与其DevOps流程相集成。 从历史上看，网络安全团队只在扫描和修复安全问题后，在漫长、费力的瀑布式SDLC结束时才关注应用程序安全。这个模型随着年龄的增长而出现裂缝。客户和市场对新功能、安全性和合规性的需求是高管们最关心的问题。旨在在大流行期间和之后适应新的工作世界的数字化转型努力使软件安全成为更高的优先事项。将安全作为事后考虑的DevOps流程与软件用户和消费者的步调不一致。 需要的是DevOps到DevSecOps的转换。幸运的是，商业和公共部门的云计算，加上开源软件(OSS)的影响，现在为开发团队提供了工具、流程和框架，可以在保持质量和安全性的同时以更高的速度交付软件 。 DevSecOps让您的安全和DevOps团队在开发生命周期中协同工作。要实现这一转变，您将需要开发人员、网络安全专家、系统管理员、业务利益相关者甚至高管的协作。 评估DevOps和DevSecOps DevOps结合了文化理念、最佳实践和工具，使您的组织能够更快地交付应用程序和服务。转向每日和每周发布 使您能够减少季度或月度发布。与传统的瀑布式软件开发流程和孤立的基础架构管理相比，使用DevOps还可以帮助您更快地发展和改进您的产品。 在保留DevOps的最佳品质的同时，DevSecOps将安全性融入到周期的每个阶段。它打破了您的开发、安全和运营团队之间的孤岛。DevSecOps的好处包括： •防患于未然：通过将DevSecOps集成到您的CI/CD工具链中，您可以帮助您的团队在问题发生之前检测并解决它们。 •更快地响应安全问题：DevSecOps通过持续评估提高您的安全重点，同时为您提供可操作的数据，以便您就开发中和准备投入生产的应用程序的安全状况做出明智的决策。 •加速特征速度：DevSecOps团队拥有更好地降低不可预见风险的数据和工具。 •降低安全预算：DevSecOps可简化资源、解决方案和流程，让您能够通过设计简化开发生命周期。 我们在许多行业都处于运营高峰期。请放心，DevOps和DevSecOps的定义将在未来的几个月和几年内合并，即使只是为了企业的健全和管理。 DevSecOps和OSS DevSecOps还可以在将OSS集成到企业应用程序中发挥重要作用。OSS和DevSecOps越来越紧密地交织在一起，尤其是当企业寻求提高其软件供应链的安全性时。DevSecOps可以用作OSS修复工具，因为它允许在每个管道阶段进行扫描自动化。 OSS也是采用和安全软件容器和Kubernetes的基础。 最后的想法 在您的组织开始从DevOps到DevSecOps的转换之前，请退后一步，为您的团队定义DevSecOps。切断营销。谈论您希望您的团队取得的成果。灌输开放和协作的文化，并确保倾听您的开发、运营和质量保证(QA)团队的积极和消极观点。 4使DevSecOps采用成为团队努力的步骤 也许您的组织已经在试验DevOps工具或考虑如何转向DevOps。也许您仍然依赖临时流程。然后突然间，您的最高管理层或审计员提出了对安全和敏捷开发流程进行标准化的需求。进入DevSecOps。 为了缓解采用DevSecOps带来的挑战，您需要团队合作。这是你需要做的。 从小处着手 从一个小型的概念验证项目开始，应用您的经验教训，然后在您的成功基础上再接再厉，这一点至关重要 。选择一个小型项目的最佳方法是让业务利益相关者愿意将其较小的项目之一迁移到DevSecOps开发模型。将应用程序迁移到云端是进行此类概念验证项目的好时机。 在整个组织中培养DevSecOps倡导者 就像DevOps一样，转向DevSecOps最终与人和文化有关。 转向DevSecOps需要您建立内部DevSecOps倡导者来传播好消息。以下是您应该考虑的一些日常倡导者和拥护者： •个人贡献者和早期采