所謂欲速則不達(dá)，缺乏“內(nèi)生安全”的DevOps就是如此，而DevSecOps自動(dòng)化則可以在提高安全性的同時(shí)提高開發(fā)生產(chǎn)力，這就是越來越多的企業(yè)開始關(guān)注DevSecOps自動(dòng)化的原因。 以下是將DevSecOps自動(dòng)化融...

所謂欲速則不達(dá)，缺乏“內(nèi)生安全”的DevOps就是如此，而DevSecOps自動(dòng)化則可以在提高安全性的同時(shí)提高開發(fā)生產(chǎn)力，這就是越來越多的企業(yè)開始關(guān)注DevSecOps自動(dòng)化的原因。

以下是將DevSecOps自動(dòng)化融入企業(yè)整體技術(shù)框架的九大原因（優(yōu)點(diǎn)）：

01、加速開發(fā)、部署和恢復(fù)

DevSecOps是一種管理生命周期方法，它將應(yīng)用程序規(guī)劃、交付和監(jiān)控方法結(jié)合在一個(gè)框架下。DevSecOps的吸引力在于它可以加快軟件開發(fā)生命周期(SDLC)中的許多環(huán)節(jié)，并確保代碼持續(xù)集成和更新的速度能跟上業(yè)務(wù)發(fā)展的腳步。

企業(yè)可以在SDLC流程的部署階段就開始構(gòu)建和執(zhí)行自動(dòng)化框架。在該框架中添加應(yīng)用程序、測(cè)試安全功能并自動(dòng)推送到生產(chǎn)環(huán)境中。DevSecOps工具還可以自動(dòng)監(jiān)控新啟動(dòng)的應(yīng)用程序，并在檢測(cè)到應(yīng)用程序崩潰錯(cuò)誤時(shí)觸發(fā)回滾到以前的版本。

02、消除補(bǔ)救任務(wù)

與大多數(shù)技術(shù)自動(dòng)化實(shí)踐一樣，DevSecOps可以在整個(gè)SDLC中自動(dòng)化低級(jí)別的補(bǔ)救任務(wù)。這包括應(yīng)用程序中安全功能的實(shí)施和監(jiān)控，以及從網(wǎng)絡(luò)安全角度對(duì)應(yīng)用程序的監(jiān)控。

03、準(zhǔn)確的自動(dòng)驗(yàn)證檢查

如果開發(fā)速度占據(jù)較高的優(yōu)先級(jí)，通常以犧牲代碼準(zhǔn)確性為代價(jià)。這種情況下在DevSecOps框架中實(shí)施自動(dòng)代碼驗(yàn)證檢查就非常重要。這些檢查可以快速識(shí)別代碼錯(cuò)誤并找到可能的補(bǔ)救方法，確保軟件更新和部署的計(jì)劃不被耽誤。

04、安全的一致性

具體的DevSecOps框架應(yīng)包括以統(tǒng)一的方式自動(dòng)集成所有軟件開發(fā)安全功能流程。這種高度結(jié)構(gòu)化的方法確保了開發(fā)安全的一致性，每個(gè)通過持續(xù)集成/持續(xù)交付生命周期流程的應(yīng)用程序都具備相同安全“基因”。

05、自助服務(wù)功能

成熟的DevSecOps自動(dòng)化包括為開發(fā)人員提供自助式安全工具，這些工具可以修復(fù)已識(shí)別的漏洞，無需直接與IT安全人員進(jìn)行交互。在以下DevSecOps流程中，可植入自助服務(wù)工具：

安全的應(yīng)用平臺(tái)配置配置管理和控制漏洞和錯(cuò)誤跟蹤報(bào)告和審計(jì)

DevSecOps中的自助服務(wù)工具不僅使開發(fā)人員能夠在沒有人為瓶頸的情況下控制安全，而且還能激勵(lì)跨團(tuán)隊(duì)技能的開發(fā)。

06、基于人工智能的威脅分析

高級(jí)DevSecOps框架利用AI和機(jī)器學(xué)習(xí)技術(shù)來簡(jiǎn)化和加速復(fù)雜的DevSecOps任務(wù)。以下是兩個(gè)示例：

收集和分析軟件和操作系統(tǒng)日志信息可以確定軟件不良行為者試圖針對(duì)的目標(biāo)?；谶@些信息，人工智能可以建議代碼更改、添加或架構(gòu)更改，以主動(dòng)識(shí)別代碼漏洞。從測(cè)試的角度來看，代碼添加或更改可以通過微調(diào)的機(jī)器學(xué)習(xí)工具運(yùn)行，以確定特定更改可能對(duì)應(yīng)用程序產(chǎn)生的其他影響。

07、易于擴(kuò)展

DevSecOps工具和流程的開發(fā)和調(diào)整完成后，當(dāng)需要更多計(jì)算資源或需要復(fù)制整個(gè)框架并將其部署到其他物理位置時(shí)，無需手動(dòng)復(fù)制，借助自動(dòng)化的DevSecOps，只需鼠標(biāo)點(diǎn)擊幾下即可完成系統(tǒng)和流程的擴(kuò)展或收縮。自動(dòng)化擴(kuò)展也避免了很多安全事件，Comcast最近的一項(xiàng)案例研究表明，使用DevSecOps后安全事件減少了85%。

08、簡(jiǎn)化合規(guī)報(bào)告

對(duì)于大多數(shù)垂直業(yè)務(wù)而言，遵守行業(yè)規(guī)定和政策合規(guī)非常重要。因此，審計(jì)和報(bào)告職能必須識(shí)別相關(guān)信息，確保準(zhǔn)確性并以一致的方式顯示數(shù)據(jù)。

對(duì)于許多安全團(tuán)隊(duì)來說，審計(jì)和報(bào)告可能是一項(xiàng)艱巨的任務(wù)。由于缺乏可見性、不斷變化的數(shù)據(jù)收集源以及提供不同結(jié)果的手動(dòng)配置和操作工具，使這項(xiàng)任務(wù)充滿復(fù)雜性和挑戰(zhàn)性。

自動(dòng)化審計(jì)和合規(guī)工具使用DevSecOps框架對(duì)這一過程采取整體方法。工具使用人工智能和機(jī)器學(xué)習(xí)來智能地學(xué)習(xí)軟件的底層基礎(chǔ)架構(gòu)，并對(duì)虛擬機(jī)或容器執(zhí)行審計(jì)掃描，以驗(yàn)證它們是否具有適當(dāng)?shù)陌踩刂?。這些工具集還可以向上管理，以識(shí)別特定于軟件的安全控制，例如身份驗(yàn)證、授權(quán)和記帳是否合規(guī)。

09、節(jié)省成本

DevSecOps自動(dòng)化可以帶來的另一個(gè)好處是節(jié)省成本。企業(yè)獲得的收益是多方面的，包括提高軟件交付速度、降低災(zāi)難性網(wǎng)絡(luò)安全事件的可能性以及減少徹底執(zhí)行安全SDLC流程所需的操作人員數(shù)量。

【GoUpSec

】簡(jiǎn)介：升華安全佳，安全看世界。GoUpSec以國(guó)際化視野服務(wù)于網(wǎng)絡(luò)安全決策者人群，致力于成為國(guó)際一流的調(diào)研、分析、媒體、智庫機(jī)構(gòu)。