《中國DevOps現狀調查報告(2021年)》顯示
新思科技Coverity在安全工具市場佔比最高達32.74%。
我們正走向萬物互聯的時代,產業數字化轉型是當下及未來的必經之路,這一切都離不開軟體的驅動。可以說軟體安全在很大程度上影響數字化轉型的速度和質量。由於新技術不斷湧現及其應用日趨成熟,軟體開發模式發生改變,DevOps 快速興起,並緊隨安全“左移”被廣泛認可,DevSecOps 已經成為很多企業數字化轉型過程中應用安全的基礎保障。這不僅有利於企業更快速、更安全地將產品上市,也加速了社會數字經濟的發展。
新思科技一直致力於幫助企業更快速地構建安全、優質的軟體,在推動DevSecOps落地方面有豐富經驗。新思科技強調引入DevSecOps可以從源頭及時治理安全問題,走出“安全孤島”。但是隨著網路環境與駭客攻擊方式越來越複雜、企業文化鴻溝以及高效工具缺失等問題,落地DevSecOps對於現代IT企業來說是一件很棘手的工作。
新思科技軟體質量與安全部門高階安全架構師楊國樑表示:“DevSecOps不止是一套工具,而是融合開發、安全及運營理念以建立解決方案的系統方法。這需要把人員、流程、技術、工具結合起來,由內到外強化應用,使其能夠靈活防禦各種潛在威脅。新思科技透過實際經驗總結出一些建議,助力企業更高效地落地DevSecOps,進而推動產業數字化轉型,更快地邁上高質量發展之路。”
培養 DevSecOps 文化和思維
DevSecOps的核心是文化和思維方式。以前,安全防護只是特定團隊的責任,在開發的最後階段才會加入;但是這種做法現在已經行不通了。DevSecOps要求透過專業培訓在企業內部全面建立起安全意識與安全保障機制。有些企業會有一種誤區,覺得開發人員可以滿足整個軟體開發生命週期(SDLC)中的任何安全需求,或者開發人員可以自學這些安全知識。
楊國樑介紹道:“自學可能適用於少數開發人員,但是需要多長時間以及評估指標是什麼很難界定,尤其是DevSecOps還沒有在真正意義上普及起來。企業更需要安全專家提供培訓,以幫助他們與時俱進。新思科技可以提供安全發展計劃和培訓、CI/CD 戰略與規劃及雲安全評估等,推動企業循序漸進地部署DevSecOps。”
整合自動化工具,內建安全
雲計算開源產業聯盟近期釋出的《中國DevOps現狀調查報告(2021年)》顯示,五成以上的受訪企業嘗試實踐DevSecOps。而且,原始碼靜態安全檢測、容器映象安全掃描以及Web應用防火牆成為企業應用最廣泛的DevSecOps實踐。
楊國樑說:
“報告指出Coverity靜態應用安全測試(SAST)是企業應用最為廣泛的四種安全工具之一,並且佔比最高,達32.74%。
這證明了新思科技的靜態分析解決方案已經受到中國市場的充分認可。”
憑藉Coverity,企業可以實現大規模靜態分析自動化,幫助開發和安全團隊在SDLC早期解決安全和質量缺陷,跟蹤和管理整個應用組合的風險,並確保符合安全和編碼標準。此外,新思科技還提供Black Duck軟體組成分析(SCA)、Seeker互動式應用安全測試(IAST) 以及API 安全測試等工具,在軟體中內建安全,並貫穿整個SDLC。
將安全漏洞視為軟體缺陷
安全漏洞的報告方式通常不同於質量和功能缺陷。通常,企業在兩個不同的位置維護兩種型別的結果——安全和質量。這降低了每個團隊和相關人員在檢視專案的整體安全狀況時的可見性。在同一處維護安全和質量有助於團隊以相同的方式和優先順序處理這兩種型別的問題。
在企業部署工具發現質量和安全問題並進行修復後,要如何評估安全計劃的整體成果,以持續推進DevSecOps呢?企業需要一把標尺。
新思科技軟體安全構建成熟度模型(BSIMM) 是一種基準工具,透過資料驅動的客觀方式展示當前軟體安全性活動的概況。與規定性模型不同,描述性模型BSIMM實際相當於一個行業報告,企業可以參照其中的資料來定位自己的座標,考核軟體安全計劃大致在一個什麼水準,是否需要做改進和進一步提升等等。企業可以憑藉這把標尺決定哪些額外安全活動對支援其整體DevSecOps戰略有意義,並且有針對性地制定下一步計劃。
楊國樑總結道:“軟體安全是數字化轉型的‘剛需’,DevSecOps可將安全防護融入整個SDLC,充分發會DevOps的敏捷性和響應力。當然,落地DevSecOps不會一蹴而就,需要一套整體的規劃,覆蓋人員、技術、流程、評估等。因此,軟體開發需要聯動安全開發與業務、運維等,將安全開發作為企業文化延伸到各個部門。新思科技一直強調安全測試應儘可能在 SDLC 的最左側(即最早期)開始,即安全‘左移’。防患未然,才能為DevSecOps順利落地保駕護航。”
來源:Synopsys軟體質量與安全
侵刪~
