DevSecOps 實施篇！系列（二）

想在本身公司創建 DevSecOps 計劃？沒問題，企業規模不管大小，均可輕鬆實現。這裏有5個基本的 DevSecOps 原則能夠幫助你啓動。固然，若是你對 DevSecOps 還不太熟悉，不妨先看看第一篇文章《什麼是 DevSecOps？系列（一）》。

以客戶爲中心

以客戶爲中心，能夠協調業務與安全之間的關係，從而確保制定準確、完備的安全策略，並讓企業的全部成員都可以支持和實施。可是，要把安全和業務產出結合起來，有時其困難程度猶如要把油和醋混合起來。安全專家使勁了渾身解數力圖攻破軟件，每每仍是很難將這些安全信息和客戶以及最終的業務產出關聯起來。

實際上，安全的複雜性，以及安全專家和業務專家在工做重心方面存在的巨大差別，會致使決策出現重大分歧。安全專家考慮的是如何保護企業資產的安全，而業務專家關注的是如何冒險知足客戶的需求以增長收入。這些原則性的差別會致使雙方產生極大的摩擦。

拋開這些分歧，秉持以客戶爲中心的理念，能夠促使安全專家採起更好的安全策略，同時也能夠減小複雜性形成的風險控制障礙。此外，安全計劃及產出能夠適應客戶需求和業務產出，其中的複雜性也能夠經過自動化和報告進行展現。

最終，支持業務產出的必要控制應當簡單易懂，讓安全實現成爲人人均可以作的事情。

擴展，擴展，擴展

除了以客戶爲中心，安全擴展也是必要的。若是客戶須要快速創新業務來解決問題，而安全專家只考慮本身的安全防禦功能，這麼作顯然不恰當。相反地，他們應當帶領安全團隊建立相同的工做模式和條件，使安全方案在支持 DevOps 和持續創新之餘還要與業務產出相協調。隨着連續部署、精益創業、敏捷型、DevOps 和其餘創新驅動法成爲常態，安全的進一步發展也迫在眉睫。

毋庸置疑，安全專家必須具有精益生產的意識，經過要求軟件定義平臺幫助收集、解釋和報告有關業務資源與環境的安全分析。

實現安全擴展，其實就是經過減小人工處理量以及實現低風險產出需耗費的時間量，達到解決問題的目的。可是，對於安全專家而言，要使安全策略透明化、簡單化，以便全部人都可以參與實施，這並非件容易的事情。不過，努力之下，他們仍是有可能改進和發展自動化，容許經過能夠擴展安全的自助服務進行風險決策。

「以安全爲準則」具備可遷移、共享和完善等附加優點，由於它不是一個讀取一次就被擱置和遺忘的文件，而是支持業務產出的整個系統的有機組成部分。

客觀標準

你是否曾有過這樣的經歷：安全報告裏有成千上萬條發現，有的甚至還看不明白，本身卻要根據這個報告快速作出決策。我想任何人收到這樣混亂不堪的安全報告，都會以爲頭痛。實際上，爲快速決策提供安全信息正在成爲一門藝術，並且經過引入客觀的標準和成熟的方法，該藝術形式獲得了極大的改善。

客觀標準能夠幫助業務專家明白要在何時、以什麼樣的方式和順序改善業務資源的安全狀況。實際上咱們能夠認爲，安全專家的惟一目標就是爲業務夥伴提供可行的修復建議。創建客觀標準來衡量企業資產安全無疑是最理想的方式，能夠知足業務夥伴爲了快速作出決策對可行性建議的需求。

有時，相比於策略，客觀標準更爲重要，由於它能促進企業內造成成熟的控制機制，使風險決策有據可依。

建立安全記分卡是制定 DevSecOps 計劃的基本要素，由於它不只能夠爲業務夥伴提供指導，並且還能夠爲持續監測企業資產安全的安全團隊提供方向。根據對象的不一樣，記分卡能夠經過檢測儀器和記錄結果爲決策行爲創設情景。

舉個例子，若是面向的對象是開發部，使用的度量指標和提供的報告可能更傾向於開發方面，好比每行代碼中存在的安全漏洞數量。反之，要是面向運營部，使用的度量指標能夠是基礎設施和配置方面存在的缺陷和漏洞。不過總體而言，只要建立記分卡便有助於各個團隊排除干擾和分歧並作出快速、精準的決策。

主動搜尋

想象一下，若是你的公司可以先於攻擊者發現安全漏洞並在遭受攻擊前將其修復，能夠免掉多少損失？主動搜尋並測試業務資源的安全性，有助於及時發現可能會被對手輕易利用的弱點和缺陷。採起主動策略保護業務資源的安全，也有助於更好地衡量與擴展，由於在業務受損前發現重要的攻擊面須要自動化和大量的數據。

可是，僅憑一個好的事件響應進程來實現這個需求是不夠的，由於在外部發起嘗試性攻擊時才發現漏洞，已經爲時太晚。

創建主動搜尋的最佳方式是實現構建自動化，利用本身的信息肯定安全缺陷，防止漏洞成爲攻擊目標。另外，這類功能還能夠利用攻擊者目前最常使用的被動輸入來增強自身的防護策略。從根本上來講，這類功能不只能夠鞏固公司技術環境方面的偵察，並且它還容許內聯測試與開發，能夠在整個業務產出的支持系統中優先執行修復措施。

換句話說，增強內部的安全測試，主動搜尋安全漏洞，對企業頗有幫助，由於修復建議可當即執行，並且還實現了與業務流程的整合。

持續檢測與響應

最後，除了牢記以上四個原則，還要確保有連續檢測和響應來完成信息發現和實時攻擊檢測。因爲監管流程和基於紙質的控制缺乏攻擊分析，DevSecOps 須要持續檢測、對照、關聯和響應來彌補該欠缺。

簡而言之，持續檢測和響應相當重要，由於它經過監測和分析外部對公司目標發起的嘗試性攻擊，能夠迅速擊退事件。

這彷佛和近十年來所講的檢測和響應沒什麼區別，但實際並不是如此。雖然大多數公司已有檢測和響應實踐，可是 DevSecOps 須要更連續的方式來爲自動化進程提供反饋，從而加快內部團隊獲知外部發現和攻擊企圖的速度。

更重要的是，安全科學的實現意味着企業可使用實時信息識別各種異常事件並作出響應，以用於支持業務產出所需的決策和防護控制預測。

本文由 DevSecOps.org 首發，系 OneASP 工程師翻譯。現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。

本文轉自 OneAPM 官方博客