Devsecops实施指南（英）

实施 DevSecOps 的指南通过威尔凯利 我们是 Opensource.comOpensource.com 是一个社区网站，发布有关创建、采用和共享开源解决方案的故事。访问 Opensource.com，了解更多关于开源方式如何改进技术、教育、商业、政府、健康、法律、娱乐、人道主义工作等的信息。你有一个开源故事要讲吗？在 opensource.com/story 提交故事创意 给我们发送电子邮件至 open@opensource.com 目录....................................................................................................................................................................4启动 DevOps 到 DevSecOps 的转变............................................................................................................8使 DevSecOps 采用成为团队努力的 4 个步骤............................................................................................11遵循 DevSecOps 成熟度模型.....................................................................................................................13启动 DevSecOps 转型的 3 个阶段 .............................................................................................................153DevSecOps 转型的更多阶段 ..................................................................................................................19 知识共享署名相同方式共享 4.03威尔凯利Will Kelly 是一名产品营销人员和作家。他的职业生涯一直致力于撰写署名文章、白皮书、营销资料以及有关云和 DevOps 的技术内容。Opensource.com、TechTarget、InfoQ 等发表了他关于 DevOps 和云的文章。他在北弗吉尼亚地区生活和工作。在 Twitter 上关注他：@willkelly。 知识共享署名相同方式共享 4.04DevSecOps：一个开源的故事最近的供应链漏洞，加上拜登总统的新网络安全行政命令，正在重新引起人们对 DevSecOps 对企业价值的关注。 DevSecOps 将文化变革、框架和工具带入开源软件 (OSS)。要了解 DevSecOps，就必须了解它与 OSS 的关系。什么是 DevSecOps？就其最纯粹的形式而言，DevOps（它是开发和运营的结合）是一种在软件交付生命周期中打破程序员和系统管理员之间传统孤岛的方法。企业和政府机构出于各种原因采用 DevOps，包括提高软件交付速度以更好地为客户服务。DevSecOps 将安全性添加到 DevOps 中，进一步细化概念以通过自动化解决代码质量、安全性和可靠性保证，从而实现持续的安全性和合规性。寻求遵守 Sarbanes Oxley (SOX)、支付卡行业数据安全标准 (PCI DSS)、FedRAMP 和类似计划的组织是实施 DevSecOps 的候选者。例如，寻求 FedRAMP 合规性的联邦政府机构应该使用 DevSecOps，因为它使他们能够将安全自动化融入软件开发过程的每个阶段。同样，受托处理敏感个人医疗保健信息 (PHI) 的医疗保健机构需要 DevSecOps 来确保其云应用程序满足 HIPAA 合规性要求。您越将安全缓解措施向左移动以解决开发中的这些问题，您节省的资金就越多。您还可以避免潜在的负面头条新闻，因为您的团队不必对生产中的问题做出响应，在生产环境中，补救成本可能会比您在开发环境中发现的问题高得多。您可以将从 DevOps 迁移到 DevSecOps 视为 DevOps 旅程中的另一个步骤。但这更像是您的开发组织和整个业务的转型。这是一个典型的框架： 知识共享署名相同方式共享 4.051. 分析、交流和教育：这包括分析您的开发过程成熟度；为您的组织定义 DevSecOps；并通过持续的反馈和交互、团队自治以及自动化和架构来培养 DevSecOps 文化。2. 将安全性集成到您的 DevOps 生命周期中：确保您的 DevOps 和安全团队协同工作。3. 将自动化引入您的 DevOps 生命周期：从小型开发项目开始，逐步扩展您的自动化策略。4. 就 DevOps 工具链的安全更改进行协作：让您的开发和安全团队共同开展项目，以强化您的 DevOps 工具链。5. 在 DevSecOps 上执行：让您的团队充分参与 DevSecOps 工具链和新流程。6. 鼓励持续学习和迭代：为您的开发人员和系统管理员提供培训和反馈机制，以支持开发人员的性能和工具链的健康。我们正处于软件开发历史上的一个独特时刻，提高安全性和加快软件开发速度的需求正处于十字路口。尽管 DevOps 在提高速度方面做了很多工作，但总有更多工作要做。DevSecOps 的增长DevSecOps 的增长在合规性和安全意识领域可见一斑。例如，它在具有安全意识的美国国防部内部拥有越来越多的追随者。平台 One 等项目正在树立榜样，说明 DevSecOps 实践如何在最注重安全的政府任务中保护开源和云技术。根据 Gartner 的 2020 年敏捷和 DevOps 炒作周期，DevSecOps 在行业内的渗透率为 20% 到 50%。随着组织将应用程序开发转移到云中，这种流行病成为 DevSecOps 的催化剂。DevSecOps 的挑战即使您将 DevSecOps 视为您 DevOps 旅程中的另一个步骤，您也可以期待您的工具链、您的 DevOps 和安全团队中的角色以及您的团队如何交互的变化。超过 60% 的 GitLab 2021 年全球 DevSecOps 调查的受访者报告新 知识共享署名相同方式共享 4.06由于 DevOps 的角色和责任，因此请提前准备好您的员工并将意外事件降到最低。您可以采用多种开源 DevSecOps 工具来构建您的 DevOps 管道，包括：•Alerta 整合和删除来自多个来源的警报，以提供快速的可视化。它集成了 Prometheus、Riemann、Nagios 和其他面向开发人员的监控工具和服务。您可以使用 Alerta 自定义警报以满足您的要求。•StackStorm 提供事件驱动的自动化，提供脚本化补救和响应。一些用户亲切地称其为“IFTTT for ops”。•Grafana 允许您创建自定义仪表板，聚合所有相关数据以可视化和查询安全数据。•OWASP Threat Dragon 是一个基于 Web 的工具，它提供系统图表和规则引擎，用于自动建模和缓解威胁。 Threat Dragon 吹捧易于使用的界面以及与其他软件开发工具的无缝集成。DevSecOps 带来了一种文化，就像 DevOps 所做的一样。培养 DevSecOps 文化就是将安全放在首位，并让每个人都参与其中。 DevSecOps 组织需要超越强制性的公司范围内的在线安全培训，通过预设对话将安全性引入开发和业务流程。DevSecOps 和开源风险缓解企业甚至政府机构使用多达 90% 的开源代码。这有时会在单个应用程序中占用数百个离散库。毫无疑问，OSS 可以节省 DevOps 团队的时间和金钱，但可能需要 DevSecOps 安全模型来降低 OSS 风险和许可复杂性。在 Synopsys 的 2020 年 DevSecOps 实践和开源管理调查中，46% 的受访者表示，媒体对开源问题的报道会影响他们在 OSS 项目中实施控制的方式。对近期供应链违规事件的持续报道加剧了技术领导者对其控制严格性的担忧。OSS 风险缓解策略和 DevSecOps 在许多方面结合在一起，例如：•在 OSS 进入您的软件供应链之前，开始生成软件物料清单 (SBOM) 作为质量门。•通过从您的开发、安全和 知识共享署名相同方式共享 4.07企业后台团队。您可以调整您的 DevSecOps 生命周期以考虑您的 OSS 采购策略。最后的想法DevSecOps 现在是一个嘈杂的话题。许多营销人员正试图将其定义为向商业和公共部门企业销售更多产品。即便如此，OSS 和 DevSecOps 之间的关系仍然清晰，因为 DevSecOps 工具和策略提供了一个安全门，可以将 OSS 带入软件供应链和您的 DevSecOps 管道，同时从流程的第一步开始就保持安全性和合规性。 知识共享署名相同方式共享 4.08启动 DevOps 到 DevSecOps 的转变DevSecOps 的广泛采用是不可避免的。作为瀑布式软件开发生命周期 (SDLC) 的一部分，安全性和交付速度是不切实际的期望。企业和政府机构一直承受着向客户、选民和员工提供新特性和功能的压力。最近备受瞩目的软件供应链漏洞和拜登总统关于改善国家网络安全的行政命令也增加了企业和政府转向 DevSecOps 的紧迫性。所有这一切意味着，您的企业迟早需要将安全性与其 DevOps 流程相集成。从历史上看，网络安全团队只在扫描和修复安全问题后，在漫长、费力的瀑布式 SDLC 结束时才关注应用程序安全。这个模型随着年龄的增长而出现裂缝。客户和市场对新功能、安全性和合规性的需求是高管们最关心的问题。旨在在大流行期间和之后适应新的工作世界的数字化转型努力使软件安全成为更高的优先事项。将安全作为事后考虑的 DevOps 流程与软件用户和消费者的步调不一致。需要的是 DevOps 到 DevSecOps 的转换。幸运的是，商业和公共部门的云计算，加上开源软件 (OSS) 的影响，现在为开发团队提供了工具、流程和框架，可以在保持质量和安全性的同时以更高的速度交付软件。DevSecOps 让您的安全和 DevOps 团队在开发生命周期中协同工作。要实现这一转变，您将需要开发人员、网络安全专家、系统管理员、业务利益相关者甚至高管的协作。评估 DevOps 和 DevSecOpsDevOps 结合了文化理念、最佳实践和工具，使您的组织能够更快地交付应用程序和服务。转向每日和每周发布 知识共享署名相同方式共享 4.09使您能够减少季度或月度发布。与传统的瀑布式软件开发流程和孤立的基础架构管理相比，使用 DevOps 还可以帮助您更快地发展和改进您的产品。在保留 DevOps 的最佳品质的同时，DevSecOps 将安全性融入到周期的每个阶段。它打破了您的开发、安全和运营团队之间的孤岛。 DevSecOps 的好处包括：•防患于未然：通过将 DevSecOps 集成到您的 CI/CD 工具链中，您可以帮助您的团队在问题发生之前检测并解决它们。•更快地响应安全问题：DevSecOps 通过持续评估提高您的安全重点，同时为您提供可操作的数据，以便您就开发中和准备投入生产的应用程序的安全状况做出明智的决策。•加速特征速度：DevSecOps 团队拥有更好地降低不可预见风险的数据和工具。•降低安全预算：DevSecOps 可简化资源、解决方案和流程，让您能够通过设计简化开发生命周期。我们在许多行业都处于运营高峰期。请放心，DevOps