为何安全开发要左移 DevSecOps如何落地实践？

随着世界越来越多地转向云和数字化一切，组织的风险态势也发生了变化。将安全嵌入业务已经成为了组织发展必然的要求。

Netflix、Github、Square 等许多表现出色的公司已经证明，将安全性集成到编写、构建和交付代码中是改善整体安全状况的最有效的方法之一，这也解释了为什么 DevSecOps 为何会成为当前最火热的安全趋势。 随着 DevOps 的质量和生产力优势的进一步凸显，安全分层和DevSecOps 的 “左移”作为下一个合乎逻辑的步骤。

然而，即使在 2022 年，许多组织仍处于接入DevSecOps的早期阶段。在安全开发的过程中，安全团队扮演的角色仍然微乎其微，导致安全性不是从一开始就集成到 SDLC 流程中，而是在部署后通过漏洞扫描程序和渗透测试进行附加。

但值得庆幸的是，企业界已经认识到安全开发的重要性，并开始尝试实施 DevSecOps 实践。云安全联盟 (CSA) 的一份调查报告发现，89% 的组织正在积极采用 DevSecOps。这些组织中的大多数已经进入到 DevSecOps 的规划、设计或实施的不同阶段，这代表着DevSecOps市场存在着旺盛的发展动力。

在这些早期阶段，安全性必须受到开发团队的拥抱，并在开发生命周期中根深蒂固。正确地“左移”意味着倾向于“安全是每个人的责任”的理念，并使安全与开发全流程无缝衔接，而不是发生在产品部署之后。

DevSecOps在落地实践需要注重哪些因素？

● 文化和心态比工具更重要。首先应该承认自动化和工具很重要，但采用 DevSecOps 始于文化转变。从将“安全是安全团队的事情”转变为“安全是大家的共同责任”，安全需要每一个人为之付出时间、努力和奉献精神。

● 软件成分分析(SCA) 必须成为优先事项。供应链攻击、非授权软件和像Log4Shell这样的开源漏洞已经清楚地表明了保护库和依赖关系的重要性。今天的应用程序依赖于来自第三方的大量软件，一个软件包中的安全漏洞可能会产生巨大的连锁反应。

● DevSecOps工具需要消除安全方面的摩擦。为了使 DevSecOps 更有效，安全需要直接集成到软件交付管道中。如果安全集成造成瓶颈并阻碍生产力，开发团队就会尝试绕过它们。安全性必须成为开发人员编写、构建和部署方式的一部分，而不是一个单独的过程。这就是为什么 DevSecOps 工具必须与 DevOps 工作流紧密集成的原因。

● DevSecOps 工具需要处理合规性挑战。许多企业必须遵守 HIPAA、PCI-DSS 和 SOX 等标准,但跟上所有的审计、扫描和要求通常需要大量的手动工作。一些简化合规流程的代码合规工具将会帮助企业解决这一问题，通过使用 DevSecOps 工具和实践简化合规流程，团队可以展示业务价值并帮助创建积极的反馈循环，以更广泛地采用 DevSecOps。

总而言之，大多数组织都希望采用 DevSecOps 实践，但他们当前的实践更接近于传统的瀑布方法，而不是 DevSecOps 宣言中描述的敏捷实践。 因此，大多数企业面临的直接障碍是克服与人员和流程相关的挑战。对于 DevSecOps 服务和解决方案的提供商，重点应该是消除集成安全性的摩擦，并帮助团队团结起来，让安全成为每个人的责任。