推動DevSecOps安全「左移」 構建可信軟體

作者 : 新思科技 (Synopsys)

軟體發展速度越來越快，而且自動化程度更高。為了跟上並適應日益變化的業務需求，企業需要在DevOps中構建安全性。

軟體發展模式正迅速邁向DevSecOps，這使得開發與運維團隊得以相互協作，朝著「快速交付高品質、高可信的軟體」這一共同目標而奮進。新思科技(Synopsys)認為，實施DevSecOps是一場文化、流程和技術上的變革，而將安全活動集成到軟體發展生命週期(SDLC)中從而實現安全左移是其關鍵。

中國大陸資訊通信研究院發佈的《中國DevOps現狀調查報告(2022)》顯示：36.49%的受訪企業尚未開展DevSecOps實踐；35.72%的受訪企業尚未將安全測試「左移」到需求階段。這表明DevOps向DevSecOps的演進已經取得了長足進步，但提升的空間仍然很大。

新思中國區軟體應用安全技術總監付紅勳指出：「安全左移涉及文化、流程及技術的優化，涉及一系列管理活動和工程活動的調整，是實現DevSecOps的要點與難點。」他認為，實現安全左移需要把握以下九大要點，即以SHIFT LEFT的方式實現Shift Left。

1. Security Awareness (強化安全意識)。意識是安全左移的土壤。不僅是對研發團隊，更重要的是管理層需要充分認識到安全形勢的嚴峻性與複雜性，認識到應用安全是重中之重。獲取管理層的支持是安全計畫得以落地的大前提。
2. Hierarchical standards(分層設定標準)。既要儘量在缺陷引入的源頭把關、又要不降低CI/CD流水線的速度，要在兩者之前取得平衡，就需要沿流水線分層設定安全標準。
3. Integration(無損融入流程)。安全活動融入研發流程有四個步驟：小範圍試點，發現並解決融入後的問題，積累推廣經驗；流程Owner正式簽發；推廣與培訓；監測流程運轉中的問題、及時改進。
4. Feature & requirement(規劃安全需求)。應用安全是開發出來的、也是設計出來的，但首先是規劃出來的。安全需求有兩種形態：顯性需求和隱性需求，後者往往不是客戶可以直接感知的功能，但卻可以直接提高系統的安全性。
5. Threat modeling in design(威脅建模設計)。威脅建模即結構化地識別系統所面臨的威脅、並制定相應的削減措施。威脅建模是規避設計類缺陷的不二法寶。
6. Learning security in coding(編碼中學習安全)。程式碼是應用安全的主體。常規培訓可以強化安全意識，在編碼中結合業務實際的學習則可以積累安全知識。
7. Enabler knowledge base(構建致能KB)。知識庫是安全左移後安全工程活動得以高品質開展的助推器。構建KB除了依靠安全設計、安全性群組件開發、安全測試技術研究等專項小組的智力外，還需要採購協力廠商產品作為重要的補充。
8. Full-range security testing(全程安全測試)。測試是應用安全的保障。全程安全測試對應用安全的價值無可替代，所謂全程就是要做到四個維度的全覆蓋：時間維度，需求規劃到發佈；技術維度，白盒、灰盒、黑盒測試；方法維度，自動、手工(如核心代碼的人工安全審查、滲透測試)；物件維度，自研代碼、開原始程式碼。
9. Tool chain(打磨安全工具鏈)。工具是應用安全的依託。AppSec測試工具融入DevOps，打磨成適合自身的DevSecOps工具鏈，這是支撐安全成功左移的關鍵。理想的DevSecOps工具鏈的應滿足以下特點：無損、自動、智慧、可視及開放。

新思中國區軟體應用安全業務總監楊國梁總結：「知易行難。DevSecOps不是微小的改變，是對公司文化的真正改變。這需要時間、培訓、工具以及擁抱DevSecOps文化的意願。將安全性集成到DevOps團隊的日常工作中可能需要耗費更多時間，但這帶來巨大的價值。開發、運維和安全團隊將協同工作，以提高交付軟體的品質和安全性，從而加快軟體交付速度，最終提升客戶滿意度。」

原文刊登於EDN China網站

活動簡介

TAIPEI AMPA & Autotronics Taipei X Tech Taipei 2023「智慧領航車聯網技術論壇」邀請來自產業的代表業者與專家齊聚一堂，透過專題演講、現場應用展示以及互動論壇，深人交流智慧交通與車聯網的融合應用，基礎設施以及安全測試與標準化等主題，帶來一系列迎接車聯網時代必須掌握的最新技術與市場趨勢，協助工程師進一步探索充滿無限可能的智慧移動大未來。

贊助廠商

立即報名

訂閱EDN Taiwan電子報