DevSecOps是Gartner 在2012年的一份报告中提出的概念。在这份报告中,Gartner提出信息安全专业人士需要更主动的融入DevOps的实践中,秉承DevOps的精神,拥抱团队协作、敏捷和职责共担的哲学。
这就将安全从传统的守门员角色转变为赋能各团队,帮助传统IT业务的开发人员、运营人员完成自己应负责的任务,打补丁绝对不是安全人员应该做的,一定是开发人员和运营人员协同的结果。 DevSecOps改变安全的尴尬处境 在传统软件开发过程中,安全往往是处于最后的一步,企业新的系统在上线前,才会通知安全人员对系统进行安全测试。而现在国际上主流的实践更多的是把安全嵌入到了研发和运营整个体系过程中。 安泰保险是一家有着150年以上历史的国际化保险金融机构,在今年的美国RSA大会上,分享了他们健全的安全生命周期管理实践以及比较成熟的DevOps实践。安泰保险认为,DevOps的广泛应用,是将安全嵌入到企业真正IT业务的前所未有的机会。 华泰证券信息安全总监张嵩表示,“相对于国际上的DevOps实践趋势,国内的发展还存在着很大的差距。但是目前我们也面临着一个机遇,国内已经有很多的企业开始逐步采用敏捷的理念,DevOps趋势已经在国内开启,在这个过程中,安全可以通过供应链的方式嵌入到IT主营业务中。” DevSecOps给应用安全带来了理念上的改变,原来安全人员的主要目标或者说企业对于安全的目标是集中在应用部署前,要尽可能的消灭掉可能存在的缺陷和漏洞,现在的目标则是从部署的应用中,持续地获取反馈,增强可理解、可视化和可感知的安全能力,从而使得让开发人员、运维人员自主的交付安全。 张嵩讲到,安全工具不应再是过去的由外包人员到最后一刻才“撸”一遍,而是应该持续运营,从资产、漏洞等基础安全数据就开始运营。 代码卫士助力企业走向DevSecOps 360代码卫士作为国内领先的SAST厂商,对原有产品进行了系统地改造与升级,引入一系列开创性的新技术,以更好地适应DevOps时代的需求。
360代码卫士架构图 1、全新的IDE插件检测解决方案 360代码卫士通过插件与IDE完美的结合,将开发团队使用SAST技术的门槛高降到最低;独特的轻量级快速检测技术,帮助开发人员在第一时间内发现代码中的安全隐患。IDE插件解决方案,能够帮助开发团队快速、高效、及时地进行修复安全问题,从而避免不必要的反馈、补丁以及回归测试,加速DevOps的整体发布流程。 2、无缝对接CI/ALM系统 360代码卫士支持与Jenkins等持续集成系统、Svn和Git等版本控制系统的无缝链接,从而实现全自动的SAST检测触发;可配置的自动化结果反馈功能,用户可选择将结果呈现在360代码卫士平台上,或是导入JIRA等应用生命周期管理工具中。无缝对接持续集成系统、版本控制系统、应用生命周期管理系统,是实现SAST在DevOps中真正应用的核心基础。 3、项目级增量分析技术 360代码卫士可基于Svn或Git地址定义项目,从而在持续集成的过程中,自动识别相同项目并启用增量分析技术;根据项目中变化的文件,基于依赖关系缓存进行变更计算,从而仅对项目中变更影响的部分进行静态分析。项目级的增量分析技术,契合了DevOps的小幅度、高频率的发布机制,大幅度提高了SAST的分析速度。 4、审计信息携带技术 360代码卫士的审计信息携带技术,可以对同一项目的多次检测进行审计结果的传递,即第一次审计为误报的测试结果,在第二次的结果中不会重复出现。这一开拓性的技术,能够让安全审计人员聚焦于每次SAST中新增的安全缺陷,极大的减少了DevOps中人工安全审计所需的时间。 DevOps已经成为软件开发管理的趋势和方向,360代码卫士可以帮助企业在DevOps的流程中,顺利地融和SAST技术,在通往DevSecOps的道路上迈出坚实的一步。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
