對話新思科技：DevOps集成對于改善應用安全計劃至關重要

9月24日消息（岳明）如今，我們每個人的日常生活和工作都離不開各種各樣應用程序。這些應用程序承載了海量的個人隱私信息和工作重要內(nèi)容，因此其安全性變得愈發(fā)重要。在美國新思科技近日發(fā)布的《現(xiàn)代應用程序開發(fā)安全》報告中，我們了解到了安全團隊對應用程序開發(fā)和部署的具體實踐，以及需要采取哪些安全措施才能夠降低其中的風險。

“研究表明，43%的受訪者表示DevOps集成對于改善應用安全計劃至關重要。”新思科技軟件質(zhì)量與安全部門高級安全架構師楊國梁在介紹這份報告時表示，“盡管大多數(shù)組織認為他們的應用程序安全計劃是可靠的，但并沒有一個具體的指標來證明他們確實做的還不錯。”

值得注意的是，AppSec已上升為企業(yè)安全投資類別中的優(yōu)先項，超過一半的受訪者表示計劃在未來12個月內(nèi)大幅增加應用程序安全的支出。這與新思科技幾年前就開始推行的概念呈現(xiàn)出吻合。同時，安全“向左移”的理念也開始越來越被行業(yè)所理解和接受?？偠灾@項研究的關鍵洞察凸顯了企業(yè)需要在整個開發(fā)生命周期中全面處理應用程序安全。

報告主要發(fā)現(xiàn)

·大多數(shù)組織認為他們的應用程序安全計劃都是可靠的，盡管許多組織仍然會提交易受攻擊的代碼。69%的受訪者將他們現(xiàn)有計劃的有效性評為8分或更高分，評級從0分到10分（其中10分表示最有效）。但是，由于近一半的企業(yè)仍然定期提交易受攻擊的代碼，因此大多數(shù)組織在過去12個月遭受到OWASP Top 10漏洞入侵其生產(chǎn)應用程序。

·DevOps集成是改進的關鍵要素。超過四分之一的受訪者表示他們現(xiàn)在的應用程序安全工具增加了摩擦并減緩了開發(fā)周期，而23%的受訪者則認為與開發(fā)/ DevOps工具的不良集成成為最常見的挑戰(zhàn)。此外，26%的受訪者指出，不同的應用程序安全供應商的工具之間是否存在集成困難或缺乏集成是常見的應用程序安全挑戰(zhàn)。

·開發(fā)人員在應用程序安全中扮演重要角色，但是他們?nèi)狈记珊团嘤枴＝种唬?9%）的受訪者表示，企業(yè)內(nèi)的開發(fā)人員缺乏用現(xiàn)有的應用程序安全工具解決問題的知識。而且僅僅17%的受訪者表示他們的開發(fā)人員利用其安全工具中提供的即時培訓，只有29%的受訪者被要求每季度至少參加一次培訓。

·企業(yè)計劃增加應用程序安全支出。超過一半（51%）的受訪者表示計劃在未來12個月內(nèi)大幅增加應用程序安全的支出。44%的受訪者計劃將應用程序安全投資瞄準云端。

·AppSec工具的激增正在推動許多組織投資于工具整合。許多組織在努力整合和管理現(xiàn)有的工具，這往往會降低安全計劃的有效程度，并需要安排過多資源來管理工具。72%的受訪者使用的工具超過10種，復雜性成為了一個關鍵問題，因此超過三分之一的受訪者將投資重點放在了整合上面。

DevSecOps落地面臨挑戰(zhàn)

將安全結合DevOps之后，就被稱為DevSecOps。當把安全集成進去后，整個DevOps運轉的流暢是應用安全計劃成功與否關鍵點。絕大多數(shù)受訪者都希望進一步提升安全工具的集成的水平。

在被問及DevSecOps如何進行落地時，楊國梁舉例談到，在落地的過程中工具一般會發(fā)生一些問題，假設10個問題中有5個問題都是噪聲，那么要把這些結果推送給開發(fā)人員的話，就必須確保推送內(nèi)容是非常有價值的，噪聲是很低的，不然就拖慢了開發(fā)人員的開發(fā)進度。

其次，加了一個新的工具進來，如果研發(fā)人員配合度高，愿意學習怎么用就好很多，但是研發(fā)壓力非常大，如果人員配合度比較低，應該怎么把它通過技術化的手段，讓研發(fā)人員感覺不到集成了一個工具，讓他們只看到一些噪聲非常低、非常有價值的結果，并且在短時間內(nèi)能拿到這些結果，這是在技術層面能夠更好地實現(xiàn)DevSecOps落地的實踐經(jīng)驗。

“落地的過程中，研發(fā)人員可能不愿意加（安全性方面）這種東西，認為造成了額外的工作量。我們需要想辦法讓研發(fā)人員不抵觸。從技術上來說，你要給他一些有信服力的答案，從流程上來說，可以找一個配合度高的團隊，先把這些流程工具逐步的搭建起來，讓大家看到效果之后，認可了它的價值，再一步一步去推廣。”他表示。

對此，楊國梁提出，可以針對不同的人、角色、利益出發(fā)點，做針對性的培訓。企業(yè)可以開展一些自己的流程、策略上的安全培訓，同時包括新思科技這樣的第三方安全廠商可以針對編碼方法、滲透測試等更專業(yè)的安全問題進行培訓。

再談安全“向左移”概念

談及現(xiàn)在業(yè)界廣為接受的安全“向左移”概念，楊國梁在接受C114采訪時表示，“這個概念其實我們很多年前就已經(jīng)提出來了，也很欣慰看到現(xiàn)在終于大家都開始接受，并且在探討如何開始左移。我們最早提出來左移的概念，根本的邏輯是一個投入產(chǎn)出比的比較，在靠后的階段發(fā)現(xiàn)一個安全漏洞和靠前的階段發(fā)現(xiàn)，花費的成本和代價是天壤之別，所以向左移的核心思想，就是盡早的發(fā)現(xiàn)安全問題。”

他談到，現(xiàn)在討論的是如何在技術層面實現(xiàn)向左移，之前我們?nèi)狈玫募夹g手段，不能在更早的階段發(fā)現(xiàn)一些安全問題，但我們現(xiàn)在不斷在完善相關的手段，比如白盒檢測和軟件組成分析等，都對安全左移實現(xiàn)了很大的突破。

同時，他告訴我們，根據(jù)新思科技與一些頭部廠商的嘗試合作，將新思科技的不同工具融入進他們的辦公流程中，其中一些最佳實踐逐步變成了業(yè)界的主流方法。目前國內(nèi)企業(yè)對DevSecOps非常注重，并且進展良好。

當被問及DevSecOps是否更適合某些特定的行業(yè)時，他強調(diào)，技術本身并不挑行業(yè)，只是一些行業(yè)的業(yè)務性質(zhì)決定了它更適合DevSecOps。“像互聯(lián)網(wǎng)行業(yè)，集成持續(xù)部署的速度可能是一小時、一分鐘甚至十幾秒，行業(yè)性質(zhì)天然就決定了DevSecOps對它更適合，因為其業(yè)務的模式就是率先搶占市場。但如果是工業(yè)控制類的軟件，速度可能并不是最重要的，重要的是穩(wěn)定性。當然，如果技術條件允許的話，也可以考慮DevSecOps。”他分析道。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。