「嘶吼RoarTalk」数字化浪潮下,DevSecOps 的破局之战( 二 )
嘶吼:结合实践经验 , 您如何理解敏捷安全 , 以及安全左移和安全右移?
武鑫:敏捷安全主要体现在自动化方面 , 在实践中比如:设计阶段、编码阶段、构建阶段、测试阶段 , 都是引入我们公司自动化的工具和平台进行支撑 , 保障企业在不影响业务快速迭代的情况下去做安全 。
行业热议的安全左移 , 研究对象主要是安全需求、安全设计、安全开发和安全测试这四个阶段 。 它不仅有利于降低网络风险 , 还可以降低成本 。 安全团队实际上保护了企业CI/CD的安全 , 从而实现自动化的安全防护 。 安全漏洞包括:系统层面的漏洞、逻辑方面的漏洞 , 应用的这些漏洞 , 有的漏洞是可以通过配置去修复的 , 然而有了漏洞实际上是在我们整个软件或者整个产品设计的时候就应该考虑进去的 。
本文插图
图:安全左移
安全右移的聚焦点是事件结果 , 强调内外结合和最终检验效果 , 以此继续对前面的安全活动进行优化和完善 。 比如:线上安全运营通过企业自主建立的定期漏洞扫描、漏洞悬赏漏洞扫描 , 和安全事件进行监测完成应用层面的安全防护 。 因为这部分工作也非常重要 , 所以希望通过强调来提升行业的重视程度 。
本文插图
图:安全右移
三、加强内部协作力减少沟通阻力的最有效措施是?
嘶吼:DevSecOps核心是强调整个IT团队成员的责任 , 企业内部怎样才能够在各部门间达成协作共识 , 必须对内部顶层设计自上向下做出调整吗?在实施流程上如何保证柔和低入侵呢?
牛晓玲:我们想要实现DevSecOps就需要让安全成为每个人工作的一部分 , 而不单是安全团队的责任 , 要将安全内嵌到应用开发的全生命周期 , 在安全风险可控的前提下 , 提升企业的IT效能 , 从而实现研发运营一体化 。 我们应该从控制总体风险、控制开发过程的风险、交付过程的风险和运营过程的风险四个主要方面入手 , 通过将安全能力内嵌到日常规范与工具中 , 配合安全培训与教育 , 从而达成企业内部对安全的共识 。 关于组织顶层设计的问题 , 我认为组织在将安全内建到DevOps过程中时 , 需要建设分级的组织负责不同的安全职责与工作 , 需要建设组织级的安全文化以及对研发人员、测试人员、技术运营人员等进行安全管理 , 包括第三方机构和人员 , 每个人都为安全负责 。
关于实施流程中柔和低入侵 , 最主要的是持续改进而非大跨步 , 并将安全能力内建到工具中 , 在不影响现有业务的情况下 , 利用安全工具来辅助实现安全流程的要求 , 通过工具平台赋能 , 而不是将安全工具转嫁给开发、测试团队 。
武鑫;在实践过程中我们不会选择打破职能 , 而是通过虚拟组织——DevSecOps专家团队 , 该团队由安全人员发起 , 按照各部门职能选调领导加入 , 以此推动整体事件达到帮助组织达成共识的目标 。 在作出决策的时候 , 比如检测产品的安全质量 , 要求进行安全测试和安全编码阶段 , DevSecOps团队引导组织建立符合安全需求的制度和规范 。 在推动事件顺利完成的过程中 , 自上而下执行阻力也会随之减小 。
嘶吼:已经建立专业安全团队并参与到研发过程中的企业需要关注哪些问题 , 请您给一些建议 。
牛晓玲:专业安全团队并参与到研发过程本身就是DevSecOps的两大特征 。 这样的企业大部分会更关注开发的安全 , 重点聚焦代码和设计的安全性与合规性 , 比如通过代码安全扫描、威胁建模等方法与工具来保证开发源头的安全 , 但也有不少企业会关注开源库的安全性以及自动化工具的能力 , 因为很多时候软件的漏洞来源于所引用的开源组件 , 比如去年爆出的FastJSON漏洞等 。 具体关注的重点问题根据企业的特性而有所不同 。
推荐阅读
- 纳德拉■微软 CEO 纳德拉:智能云与智能边缘推动社会数字化转型
- 『』小米:形成“铁人三项”模式,加速企业数字化进程
- 『』智能家居成新蓝海,疫情或促进行业线上转型与数字化的加速到来
- 【生产】我研制出新型熔喷布数字化自动生产线
- 『数字化』IDC发布《未来企业效率白皮书》:千禧一代已成为协同办公主力军
- 「区块」信链集团受邀考察广州多家区块链产业园 加速数字化经济建设
- 用工@金柚网六周年:构建B+C新版图,正式发布数字化灵活用工平台战略
- 「淘宝」阿里春雷计划助浙江制造 开启最大一波数字化转型
- 『砍柴网』联想童夫尧:坚持“全球化 + 中国特色”战略,推进企业数字化转型
- 「报告」企业数字化转型|数字化将推动下一波企业绩效管理(EPM)转型