李匯

由于許多組織最初關(guān)注的是掃描、分析應(yīng)用程序代碼和基礎(chǔ)設(shè)施以獲取安全洞察力的機(jī)制，這結(jié)果通常是一種反模式，其中復(fù)雜的重疊和松散集成的工具跨越開發(fā)和生產(chǎn)，實(shí)際上阻礙了團(tuán)隊(duì)解決開發(fā)過(guò)程中的安全問(wèn)題。由于傳統(tǒng)的安全工具是為靜態(tài)環(huán)境構(gòu)建的，考慮到云原生應(yīng)用程序開發(fā)的動(dòng)態(tài)和快速發(fā)展的性質(zhì)，它們的效率通常不太高。

盡管云原生架構(gòu)使組織能夠構(gòu)建和運(yùn)行可擴(kuò)展的動(dòng)態(tài)應(yīng)用程序，但它并非沒(méi)有挑戰(zhàn)。根據(jù)云安全聯(lián)盟（CSA）的說(shuō)法，70 %的安全專業(yè)人員和工程團(tuán)隊(duì)都在努力“左移”，其中許多人無(wú)法識(shí)別反模式的形成，也無(wú)法理解云原生的開發(fā)、成本、治理和文化理念等。

認(rèn)識(shí)到范式轉(zhuǎn)變

正如在CNCF年度報(bào)告中所討論的，55 %的受訪者每周或更頻繁地發(fā)布代碼，18 %每天多次發(fā)布代碼。微服務(wù)的持續(xù)采用和實(shí)施越來(lái)越多地挑戰(zhàn)組織（包括遺留應(yīng)用程序安全工具）在整個(gè)開發(fā)過(guò)程中跟蹤軟件漏洞。實(shí)施DevSecOps的實(shí)踐和自動(dòng)化安全工具將更早地發(fā)現(xiàn)安全風(fēng)險(xiǎn)，幫助節(jié)省開發(fā)人員時(shí)間，加快發(fā)布周期，并交付更安全和合規(guī)的代碼。

此外，安全事件（例如數(shù)據(jù)泄露、零日漏洞和隱私侵犯）對(duì)業(yè)務(wù)的影響只會(huì)繼續(xù)增長(zhǎng)，這使得組織有必要確保安全性，使之成為數(shù)字化轉(zhuǎn)型和云原生應(yīng)用程序開發(fā)的關(guān)鍵。無(wú)論是Solar Winds、Zoom還是受數(shù)據(jù)泄露影響的眾多其他公司，風(fēng)險(xiǎn)都很高，后果從失去客戶到破產(chǎn)不等。在美國(guó)，數(shù)據(jù)泄露平均給企業(yè)造成905萬(wàn)美元的損失，Log4j零日漏洞正在影響數(shù)億個(gè)應(yīng)用程序和設(shè)備，數(shù)據(jù)隱私法規(guī)導(dǎo)致罰款8.88億美元，組織不能再忽視云原生開發(fā)引入的、不斷發(fā)展的威脅動(dòng)態(tài)。

使開發(fā)人員具有安全意識(shí)

開發(fā)人員知道如何構(gòu)建應(yīng)用程序，但需要正確的工具、洞察力、流程和文化來(lái)安全地構(gòu)建它們。確保團(tuán)隊(duì)承擔(dān)安全開發(fā)是實(shí)施DevSecOps最具挑戰(zhàn)性和最關(guān)鍵的部分之一。根據(jù)SANS 2022 DevSecOps的調(diào)查：創(chuàng)建一種文化以顯著改善組織的安全態(tài)勢(shì)，管理層支持是促成DevSecOps安全計(jì)劃成功的首要因素。組織需要一種結(jié)構(gòu)化的方法，讓領(lǐng)導(dǎo)者參與進(jìn)來(lái)、動(dòng)員安全擁護(hù)者，并確保安全成為“完成”不可或缺的一部分。

此外，通過(guò)確保工程、安全和運(yùn)營(yíng)之間的一致性，鼓勵(lì)開發(fā)人員提高技能，并專注于學(xué)習(xí)和實(shí)施有助于提高Web應(yīng)用程序安全性的技術(shù)。更重要的是，使團(tuán)隊(duì)能夠更早地轉(zhuǎn)移安全性進(jìn)入設(shè)計(jì)和編碼階段。例如，OWASP云原生應(yīng)用安全Top10提供有關(guān)云原生應(yīng)用程序最突出的安全風(fēng)險(xiǎn)、所涉及的挑戰(zhàn)以及如何克服這些風(fēng)險(xiǎn)的信息。OWASP Top10鼓勵(lì)將安全性集成到CI/CD管道、參數(shù)化查詢、驗(yàn)證所有輸入、實(shí)施錯(cuò)誤處理、改進(jìn)日志記錄策略、利用安全框架的優(yōu)勢(shì)、保護(hù)靜態(tài)數(shù)據(jù)和加密、減少敏感數(shù)據(jù)暴露等準(zhǔn)則，實(shí)施安全訪問(wèn)控制等。

全面、優(yōu)先和可行的見解

由于許多原因（速度和靈活性），尤其是軟件開發(fā)的發(fā)展已經(jīng)遠(yuǎn)遠(yuǎn)超出單個(gè)開發(fā)人員從頭開始編寫代碼的貢獻(xiàn)。雖然從現(xiàn)有庫(kù)中組裝應(yīng)用程序并使用自定義代碼將它們連接在一起的做法很常見，但這并非完全沒(méi)有風(fēng)險(xiǎn)，風(fēng)險(xiǎn)來(lái)自以下因素：

全球95 %以上的IT組織在任務(wù)關(guān)鍵型IT工作負(fù)載中使用開源軟件（OSS）；

2021年，軟件供應(yīng)鏈攻擊增長(zhǎng)了300 %以上；

每年在開源和第三方代碼中發(fā)現(xiàn)超過(guò)20 000個(gè)常見漏洞和暴露（CVE）。

越來(lái)越多地使用開源軟件，軟件開發(fā)速度超過(guò)安全性的領(lǐng)域。出于這個(gè)原因，工程團(tuán)隊(duì)?wèi)?yīng)該評(píng)估正在運(yùn)行的應(yīng)用程序工具，以便為開發(fā)人員提供相關(guān)的應(yīng)用程序感知信息。這可能包括使用信息、堆棧跟蹤以及涵蓋應(yīng)用程序代碼、依賴項(xiàng)、容器鏡像和Web界面的全面見解?？鐟?yīng)用程序組件的漏洞和不安全代碼的識(shí)別和關(guān)聯(lián)，可以幫助開發(fā)人員發(fā)現(xiàn)、確定優(yōu)先級(jí)和補(bǔ)救最關(guān)鍵的安全風(fēng)險(xiǎn)。

自動(dòng)化安全測(cè)試

當(dāng)大多數(shù)工程團(tuán)隊(duì)考慮采用DevSecOps時(shí)，跨開發(fā)、運(yùn)營(yíng)無(wú)縫集成和自動(dòng)化安全性的能力是必備功能。然而，許多傳統(tǒng)的安全工具通過(guò)耗時(shí)的“門”或檢查點(diǎn)提供反饋，給開發(fā)人員帶來(lái)了額外開銷和阻礙。擺脫這種模式代表了安全團(tuán)隊(duì)的重大轉(zhuǎn)變。

然而，通過(guò)直接集成到現(xiàn)有CI/CD工作流和工具鏈中的技術(shù)，是在開發(fā)和測(cè)試期間“自動(dòng)”觀察正在運(yùn)行的應(yīng)用程序，以提供安全洞察力，而不需要工程團(tuán)隊(duì)浪費(fèi)寶貴的資源和開發(fā)時(shí)間。