所謂欲速則不達，缺乏“內(nèi)生安全”的DevOps就是如此，而DevSecOps自動化則可以在提高安全性的同時提高開發(fā)生產(chǎn)力，這就是越來越多的企業(yè)開始關(guān)注DevSecOps自動化的原因。 以下是將DevSecOps自動化融...

所謂欲速則不達，缺乏“內(nèi)生安全”的DevOps就是如此，而DevSecOps自動化則可以在提高安全性的同時提高開發(fā)生產(chǎn)力，這就是越來越多的企業(yè)開始關(guān)注DevSecOps自動化的原因。

以下是將DevSecOps自動化融入企業(yè)整體技術(shù)框架的九大原因（優(yōu)點）：

01、加速開發(fā)、部署和恢復(fù)

DevSecOps是一種管理生命周期方法，它將應(yīng)用程序規(guī)劃、交付和監(jiān)控方法結(jié)合在一個框架下。DevSecOps的吸引力在于它可以加快軟件開發(fā)生命周期(SDLC)中的許多環(huán)節(jié)，并確保代碼持續(xù)集成和更新的速度能跟上業(yè)務(wù)發(fā)展的腳步。

企業(yè)可以在SDLC流程的部署階段就開始構(gòu)建和執(zhí)行自動化框架。在該框架中添加應(yīng)用程序、測試安全功能并自動推送到生產(chǎn)環(huán)境中。DevSecOps工具還可以自動監(jiān)控新啟動的應(yīng)用程序，并在檢測到應(yīng)用程序崩潰錯誤時觸發(fā)回滾到以前的版本。

02、消除補救任務(wù)

與大多數(shù)技術(shù)自動化實踐一樣，DevSecOps可以在整個SDLC中自動化低級別的補救任務(wù)。這包括應(yīng)用程序中安全功能的實施和監(jiān)控，以及從網(wǎng)絡(luò)安全角度對應(yīng)用程序的監(jiān)控。

03、準(zhǔn)確的自動驗證檢查

如果開發(fā)速度占據(jù)較高的優(yōu)先級，通常以犧牲代碼準(zhǔn)確性為代價。這種情況下在DevSecOps框架中實施自動代碼驗證檢查就非常重要。這些檢查可以快速識別代碼錯誤并找到可能的補救方法，確保軟件更新和部署的計劃不被耽誤。

04、安全的一致性

具體的DevSecOps框架應(yīng)包括以統(tǒng)一的方式自動集成所有軟件開發(fā)安全功能流程。這種高度結(jié)構(gòu)化的方法確保了開發(fā)安全的一致性，每個通過持續(xù)集成/持續(xù)交付生命周期流程的應(yīng)用程序都具備相同安全“基因”。

05、自助服務(wù)功能

成熟的DevSecOps自動化包括為開發(fā)人員提供自助式安全工具，這些工具可以修復(fù)已識別的漏洞，無需直接與IT安全人員進行交互。在以下DevSecOps流程中，可植入自助服務(wù)工具：

安全的應(yīng)用平臺配置配置管理和控制漏洞和錯誤跟蹤報告和審計

DevSecOps中的自助服務(wù)工具不僅使開發(fā)人員能夠在沒有人為瓶頸的情況下控制安全，而且還能激勵跨團隊技能的開發(fā)。

06、基于人工智能的威脅分析

高級DevSecOps框架利用AI和機器學(xué)習(xí)技術(shù)來簡化和加速復(fù)雜的DevSecOps任務(wù)。以下是兩個示例：

收集和分析軟件和操作系統(tǒng)日志信息可以確定軟件不良行為者試圖針對的目標(biāo)?；谶@些信息，人工智能可以建議代碼更改、添加或架構(gòu)更改，以主動識別代碼漏洞。從測試的角度來看，代碼添加或更改可以通過微調(diào)的機器學(xué)習(xí)工具運行，以確定特定更改可能對應(yīng)用程序產(chǎn)生的其他影響。

07、易于擴展

DevSecOps工具和流程的開發(fā)和調(diào)整完成后，當(dāng)需要更多計算資源或需要復(fù)制整個框架并將其部署到其他物理位置時，無需手動復(fù)制，借助自動化的DevSecOps，只需鼠標(biāo)點擊幾下即可完成系統(tǒng)和流程的擴展或收縮。自動化擴展也避免了很多安全事件，Comcast最近的一項案例研究表明，使用DevSecOps后安全事件減少了85%。

08、簡化合規(guī)報告

對于大多數(shù)垂直業(yè)務(wù)而言，遵守行業(yè)規(guī)定和政策合規(guī)非常重要。因此，審計和報告職能必須識別相關(guān)信息，確保準(zhǔn)確性并以一致的方式顯示數(shù)據(jù)。

對于許多安全團隊來說，審計和報告可能是一項艱巨的任務(wù)。由于缺乏可見性、不斷變化的數(shù)據(jù)收集源以及提供不同結(jié)果的手動配置和操作工具，使這項任務(wù)充滿復(fù)雜性和挑戰(zhàn)性。

自動化審計和合規(guī)工具使用DevSecOps框架對這一過程采取整體方法。工具使用人工智能和機器學(xué)習(xí)來智能地學(xué)習(xí)軟件的底層基礎(chǔ)架構(gòu)，并對虛擬機或容器執(zhí)行審計掃描，以驗證它們是否具有適當(dāng)?shù)陌踩刂啤＿@些工具集還可以向上管理，以識別特定于軟件的安全控制，例如身份驗證、授權(quán)和記帳是否合規(guī)。

09、節(jié)省成本

DevSecOps自動化可以帶來的另一個好處是節(jié)省成本。企業(yè)獲得的收益是多方面的，包括提高軟件交付速度、降低災(zāi)難性網(wǎng)絡(luò)安全事件的可能性以及減少徹底執(zhí)行安全SDLC流程所需的操作人員數(shù)量。

【GoUpSec

】簡介：升華安全佳，安全看世界。GoUpSec以國際化視野服務(wù)于網(wǎng)絡(luò)安全決策者人群，致力于成為國際一流的調(diào)研、分析、媒體、智庫機構(gòu)。