DevSecOps的由来与发展

DevSecOps的理念源于安全性需要与开发和运维同步演进，以应对开发流程、技术架构及IT基础设施的变化。通过将安全人员早期引入流程，开发、运维、安全得以协同工作。Gartner预测，到2023年，超过70%的企业将采用自动化安全漏洞扫描，而《中国DevOps现状调查报告（2023）》显示已有72.71%的企业引入了DevSecOps实践。

DevSecOps实践的12个关键点

为了实现DevSecOps的目标，企业需在开发生命周期的每个阶段融入安全性。以下是几个核心实践：

• 调整安全测试工具：确保安全测试工具与开发人员的工具链无缝集成，避免传统的耗时流程。
• 接受漏洞的存在：采用基于风险的评估方法，避免因追求零漏洞而影响开发效率。
• 专注开源组件的漏洞：通过软件组成分析(SCA)识别已知漏洞，并构建物料清单以提高安全性。
• 改进代码扫描工具：采用交互式应用程序安全测试(IAST)替代传统静态和动态测试。
• 对开发人员进行安全培训：提供基础安全编码知识，但无需让开发人员成为安全专家。

基础设施与自动化的安全保证

DevSecOps强调对自动化脚本、模板和代码实施严格的版本控制，并通过机密管理系统保护敏感数据。此外，不可变基础设施理念要求更新在开发阶段完成，避免直接修改生产系统，从而减少配置错误和安全风险。

安全事件处理与动态访问控制

DevSecOps团队应负责监控其服务的运行时操作与安全事件，并制定快速响应策略。此外，可采用动态访问权限配置（如零信任网络访问）来限制开发人员根据角色和上下文的访问权限，显著减少攻击面。

小结

DevSecOps旨在将安全性深度融入开发运维流程，企业应聚焦以下几点：

• 无缝集成安全性与合规性测试。
• 扫描开源和第三方组件的漏洞。
• 优先处理高风险漏洞，避免过度追求零漏洞。
• 采用新型安全测试工具以减少开发摩擦。
• 扩展信息安全团队至开发流程，并采用安全冠军模式。
• 对自动化脚本和基础设施实施严格的安全控制。