目录
一、为什么要开展DevSecOps平台建设
1.1 产业发展的角度方面分析
1.2 企业内部角度分析
二、 DevSecOps平台建设需求来源
2.1 从外因看DevSecOps平台建设的需求来源
2.1.1 网络安全和数据合规在国内外快速发展
2.1.2 法规的落地促使安全管理的数字化和平台建设成为刚需
2.1.3 频繁的网络攻击事件促使企业探索DevSecOps平台方案
2.2 从内因看DevSecOps平台建设的需求来源
2.2.1 企业管理者需要解决安全加入固有流程后给业务带来的影响
2.2.2 企业安全管理者引入DevSecOps增加安全能力/降低安全学习成本
2.2.3 企业中不同岗位角色对DevSecOps平台建设方提出需求
一、为什么要开展DevSecOps平台建设
在正式介绍DevSecOps平台架构之前,先来介绍一下DevSecOps平台的需求来源,从业务源头了解为什么必须要建设DevSecOps平台这件事。
在很多企业,当DevSecOps被当作企业战略的一部分时,是从企业的总体规划去考虑的。无论是在企业战略中提高安全的重要性,还是把安全性当成其他的质量指标,其本质仍然是通过流程化管理,加强不同开发团队之间的沟通与协作,保障输出产物的一致性和标准化,从而达到控制软件质量品质的目的。
1.1 产业发展的角度方面分析
从产业发展的角度来看,互联网发展到今天,已经过了粗放的指数增长期,正在走向平稳和规范化。在这样一个面向外部要增量越来越困难的大环境背景下,面向内部要增量成为必需的选择。因此,效能工程在过去的这几年,在各个互联网企业也越来越受到重视。企业管理者意图通过效能工程实践,建立现代化软件工作环境,提高单位时间产出,这使得DevOps及DevOps平台自动化能力建设成了众多企业的选择。当安全变得越来越重要之后,DevSecOps及DevSecOps平台自动化能力建设也顺理成章地成了众多企业的选择。
试想一下,如果你是企业的安全管理者,在企业推动DevSecOps战略的落地,没有DevSecOps平台,如何能让不同的角色快速参与各项安全工作;这些不同的角色参与DevSecOps工作后,如何收集过程数据,了解建设现状,以帮助管理者正确决策如何制定下一步的持续改进策略。所以,建设DevSecOps平台是一项刚需性的、关键性的工作。
1.2 企业内部角度分析
从企业内部来看,安全工作涉及企业的方方面面,DevSecOps能力建设也是如此。面对复杂变化、头绪万千的管理现状,需要提纲挈领地落实关键的几件事,建设一套平台和流程,基于平台之上推动DevSecOps管理和运营,促进工作更顺畅地开展。同时,运营工作的开展也会反哺平台建设,对平台提出更多的需求,不断完善平台,从而逐步达到体系化建设的目的。
在日常的研发生产过程中,使用DevSecOps平台有着极大的优势。例如,通过管道化的生产流程解决传统研发模式下多方协作的效率低下问题。依托平台既定的流程和SOP,在线上开展日常工作,原有的冲突和沟通将变得更为顺滑。管道化的生产流程和卡点设置对于不同的操作人员、不同技术水平的人员来说,通过标准化的平台管理,保证输出产物质量的一致性。尤其是管道化流程中嵌入的安全工具,通过自动化操作和后台并行操作,减少传统模式下安全工作介入后给研发过程带来的阻滞,缩短了整体的交付周期。这些,都是业务侧所期望的价值点。
当企业面对新的技术风险时,通过DevSecOps流程和平台能力的构建,在已有的平台和流程之上做增量的迭代和嵌入,可以快速应对风险,达到快速止损的目的。作为软件研发领域的一项最佳安全实践,DevSecOps方法论及其平台建设可以帮助企业面对复杂的外部应用环境变化,如云端应用、大数据应用、物联网应用等新技术引入,消除了原有技术与原有角色的安全边界,提升效能的同时也为业务安全赋能。这些,都是企业开展DevSecOps平台建设的动力所在。
二、 DevSecOps平台建设需求来源
在DoD DevSecOps的文档中,对DevSecOps平台建设两个强劲的需求推动要素有清晰的描述:
- 通过持续化集成管道,加快交付周期,起到降本增效的目的。
- 构建快速、自动化的安全响应能力,以应对日新月异的外部安全形势变化。
作为美国国防部企业,加快交付周期,提供安全应急响应速度,以应对不确定性风险,是一个国防部企业的战略要求。对于普通企业而言,要求没必要那么高,但这两个原始需求依然具有广泛适用性,降本增效是企业所需要的,快速、自动化的安全响应能力与降本增效的可达成路径是一致的。下面就从外因和内因两个方面来介绍DevSecOps平台建设的需求来源。
2.1 从外因看DevSecOps平台建设的需求来源
2.1.1 网络安全和数据合规在国内外快速发展
近5年,网络安全和数据合规在国内外快速发展。从《通用数据保护条例》GDPR开始,各个国家竞相在数据安全领域立法,国内先后颁布了《网络安全法》《数据安全法》《个人信息保护法》。同时,为了配合这些法律的实施和落地,监管部门加大了针对数据安全的打击力度,合规通报事件、违法处置事件频频发生,安全在IT产品中由辅助特性一跃成为刚需。企业为了应对强监管压力,迫切需要构建与之相适应的安全能力,以应对市场的快速变化。
2.1.2 法规的落地促使安全管理的数字化和平台建设成为刚需
而网络安全和数据合规的落地,在企业内部开展一段时间的实践之后,企业管理者开始认识到光靠几次运动式的专项整改无法解决这些问题,必须体系化地建立安全团队和自动化流水线,以保障IT产品出厂前的安全性。安全管理的数字化和平台建设随之成了最初的需求来源,这时,提倡拥抱变化和内生安全的DevSecOps理念也纷纷成为很多企业的首选。作为DevSecOps落地最佳实践的DevSecOps平台建设也随之进入议事日程。
2.1.3 频繁的网络攻击事件促使企业探索DevSecOps平台方案
除了合规之外,越来越频繁的网络攻击也是众多企业开展DevSecOps平台建设的一个原因。根据绿盟科技和腾讯安全联合发布的《2021年全球DDoS威胁报告》显示,全年DDoS攻击次数再次增长,TB级流量攻击持续高升。同时,深信服发布的《2021年度勒索病毒态势报告》也显示,年度全网勒索病毒攻击超2200万次。面对DDoS和勒索病毒这种给业务系统持续带来破坏的网络攻击,企业在受到攻击如何尽量减少损失,如何通过业务扩容、主备切换、水平迁移、故障恢复等手段快速恢复业务能力,保证业务系统的持续稳定,成为部分企业急需解决的问题。而这类问题的解决,通过DevSecOps平台的自动化能力来完成是非常合适的。
2.2 从内因看DevSecOps平台建设的需求来源
从企业内部看DevSecOps建设,主要是看企业的安全战略。企业安全战略决定是否采纳DevSecOps理念,企业安全战略指导着DevSecOps体系建设和DevSecOps平台建设的规划。
2.2.1 企业管理者需要解决安全加入固有流程后给业务带来的影响
在当前的安全形势下,企业不得不在安全与收益之间做取舍,它们都期望一种快速、经济、高效的安全交付模式,解决安全加入固有流程后给业务带来的影响。而DevSecOps恰恰兼顾安全与速度,在不牺牲必要安全性的前提下,加快软件的交付,使得代码更安全的同时成本也更低,这必然获得企业安全管理者的青睐。
2.2.2 企业安全管理者引入DevSecOps增加安全能力/降低安全学习成本
作为企业安全管理者,他们是DevSecOps平台建设的主需求方。他们在持续集成/持续交付管道之上,增加安全能力,构建可重复、自助的安全流程,降低安全加入后带来的学习成本,同时也降低了安全工作的操作门槛。以DevSecOps平台为基础,数字化安全操作流程,通过安全自动化和流程化,促进开发、安全和运维等团队之间协作,缩短安全缺陷处置周期,这都是企业管理者乐于看到的。
2.2.3 企业中不同岗位角色对DevSecOps平台建设方提出需求
除了企业安全管理者之外,其他参与DevSecOps工作的各个角色也会给DevSecOps平台建设方提出需求。例如,架构师为了做好安全架构设计工作,提出威胁建模工具建设和安全架构培训的需求;开发工程师会经常抱怨代码安全扫描误报和漏报的问题,促使DevSecOps平台建设方优化代码安全扫描策略;运维工程师为了减少手工安全基线加固的工作,提出自动化满足安全基线的需求等。这些不同的角色均是DevSecOps平台建设需求的来源。
好了,本次内容就分享到这,欢迎大家关注《DevSecOps》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!