選擇正確DevSecOps解決方案的七個技巧

引言

隨着愈來愈多的公司意識到將安全性集成到其DevOps流水線的重要性，對DevSecOps產品的需求一直在強勁增加。可是，投入DevSecOps市場尋求選擇的IT和DevOps專業人員很快意識到，DevSecOps工具和框架的數量衆多且使人困惑。選擇過多，每每使他們陷入決策疲勞和分析癱瘓的境地，由於他們試圖瞭解選擇哪一種安全解決方案以及如何將其集成到他們的軟件開發流水線中。

可是，爲何首先將DevSecOps成爲如此關注的焦點呢？爲了跟上創新的步伐，開發人員已成倍地增長了對開源軟件（OSS）的使用，使其現已普遍應用於應用程序開發交付過程中。隨着愈來愈多的源代碼來自「外部」，現在，收集和理解其內容的需求變得相當重要。

在這篇文章中，咱們將研究在減輕OSS中可能包含的漏洞方面最成功的工具和技術類型。而後，咱們將分享一些技巧，這些技巧將幫助您從市場上脫穎而出，並在評估市場上的許多不一樣選項時作出更好，更明智的決策，尤爲是在軟件組成分析（SCA）領域。

 

開發的現實&現狀

現在，典型的應用程序使用多達90％的OSS組件，這些組件取自公開可用的開源庫。這種趨勢使得應用程序中存在的漏洞數量不斷增長，進而致使漏洞攻擊和破壞。公司經過載DevOps流水線中添加更多安全檢查集成來作出反應。 

可是，安全專業人員和開發人員真正須要哪一種類型的工具來確保其生產軟件的安全性和穩定性？公平地說，有多種普遍的DevOps安全工具能夠解決軟件開發生命週期（SDLC）的不一樣領域： 

• 代碼分析（靜態和動態）
• 軟件組成分析（針對第三方OSS）
• 運行時安全性分析（包括容器） 

理想狀況下，團隊應該致力於採用全部這些領域的工具，以實現完整的SDLC安全性，可是對於本博客，咱們將專一於軟件組成分析，該軟件的目標是緩解OSS開源組件和二進制文件中的漏洞和違反許可證合規性。

DevSecOps的七個必備條件

選擇DevSecOps工具時，須要確保如下7點：

 

一、能夠本地管理和理解全部製品的工具

在團隊在沒有完成肯定哪一個OSS組件具備漏洞的任務以前，他們首先須要一個通用的DevOps平臺，該平臺能夠做爲一個基本要求，在集中位置管理全部組件和二進制製品文件，而不論其技術棧類型如何。DevOps平臺須要知道項目使用了哪些組件以及它們之間的依賴關係，還有項目建立了哪些製品文件。

 

二、使用最好的燃料

最有效的解決方案將須要像VulnDB這樣的世界一流的漏洞情報源的力量，以確保它具備最新的漏洞知識庫。世界上最好的汽車若是他們沒有最好的燃料來推進他們什麼也不是

 

三、堅持可見性和影響分析

DevSecOps的「贏家」不只可以瞭解您的二進制文件使用了哪些OSS庫和組件，並且還能瞭解如何解壓和掃描它們並查看全部底層和依賴項，甚至包括打包在Docker映像和zip文件中的那些底層和依賴項。可以瞭解組織中製品文件和依賴關係結構的解決方案可以爲企業提供軟件交付可見性，並在交付過程當中的任何地方發現其漏洞或許可證違規的影響範圍。

 

四、須要支持容器和雲原生框架

解決方案應支持基於容器的發佈框架，容器框架已迅速成爲雲原生部署的事實上的標準。對容器技術的深刻，遞歸的理解以及深刻探究每一層layer的能力將確保漏洞不會被掩蓋。不幸的是，某些掃描工具不支持容器，或者對它們的全部不一樣層和可傳遞依賴項瞭解不足。

 

五、自動化治理

與公司安所有自動化協做管理的能力是DevSecOps的重要籌碼。治理系統必須可以自動執行公司策略，並在不進行干預的狀況下采起相應的措施。主要功能應包括：

• 經過不一樣的渠道（例如電子郵件，即時消息或需求管理系統如Jira）來通知違反安全性或合規性問題，
• 自動阻止包含問題（漏洞或許可證違規）製品的下載
• 使依賴脆弱組件（包含高危漏洞）的構建失敗
• 防止部署易受攻擊的交付件

 

六、遍佈整個流水線

DevSecOps中的差別化點是如何將製品的詳細數據與橫跨製品倉庫，構建，部署，運行等階段的安全掃描結合起來。即便在生產部署以後（運行時），一個能夠覆蓋整個SDLC並持續檢測和監視漏洞和合規性違規的平臺將脫穎而出。

 

七、混合動力

即便您還沒有維護混合型的基礎架構。如今選擇支持您的持續雲計算旅程和基礎架構混合的工具和解決方案，將確保您不管在何處的DevSecOps流水線中都具備一致性和標準。

 

總結

DevSecOps將再也不停留在CIO的心願單。如今它是必須執行的IT戰略，它必須成爲任何組織SDLC不可或缺的一部分。即便組織選擇了合適的DevSecOps解決方案，領導者也須要確保他們在各個團隊之間實施完善的DevSecOps流程。這包括須要繼續就應用程序安全最佳實踐對開發人員和DevOps從業人員進行培訓。開發人員安和全專業人員比例一般是250：1，所以在開發團隊之間分享安全知識是彌補安全缺失的基礎。

 

選擇一個能夠管理存儲庫，二進制文件，CI / CD自動化和OSS組件分析並支持容器化發佈框架的DevSecOps平臺彷佛是一項艱鉅的任務。此外，支持本地，雲，多雲和混合部署是一個額外的挑戰。可是，解決方案需求清單是一個很好的起點。咱們但願這七個技巧將爲您向供應商提出正確的問題，消除市場噪音以及作出明智的決定奠基堅實的基礎。