DevSecOps工具鏈技術(shù)實踐

1、DevSecOps工具鏈技術(shù)實踐技術(shù)創(chuàng)新，變革未來安全地軟件開發(fā)中的挑戰(zhàn)開發(fā)運(yùn)維人員缺少安全技能、意識安全專業(yè)人員很有限第一道防線安全往往在運(yùn)維的基礎(chǔ)架構(gòu)類職能下，地位不高，很難對等的協(xié)同開發(fā)、運(yùn)維的壁壘，安全職能難以嵌入進(jìn)IT生命周期的各個階段開發(fā)交付團(tuán)隊，甚至管理層過度地強(qiáng)調(diào) “速度”，在與速度的平衡中，對安全 風(fēng)險的機(jī)會主義風(fēng)險偏好過大安全人員技能欠缺，安全“運(yùn)營”的程 度低安全工具自動化不足或集成程度不高漏洞多是在上線前一刻被發(fā)現(xiàn)，而不是 持續(xù)在開發(fā)的“管道”PIPELINE中被識 別修復(fù)成本過高控制點(diǎn)或?qū)徲孅c(diǎn)過于滯后或缺失安全需求、要求、架構(gòu)設(shè)計的持續(xù)交付 得不到保障缺少全鏈條各階段

2、的風(fēng)險視角和風(fēng)險管理能力老的、不標(biāo)準(zhǔn)的架構(gòu)與應(yīng)用系統(tǒng)最佳實踐和架構(gòu)PATTERN積累有限環(huán)境標(biāo)準(zhǔn)化發(fā)放和維護(hù)程度低組織與文化技術(shù)與架構(gòu)過程與控制技能與工具增加開發(fā)人員的責(zé)任！DevSecOps？什么是DevSecOps? Why?Gartner 2012年在一份報告中提出的概念。在這份報告中，Gartner提出信息安全專業(yè)人士 需要更主動地融入DevOps的實踐中，秉承DevOps的精神，擁抱“團(tuán)隊協(xié)作、敏捷和職責(zé) 共擔(dān)的哲學(xué)”?；贕artner的調(diào)研，估計少于20%的企業(yè)安全架構(gòu)師參與到DevOps的項目中，主動和系 統(tǒng)性地將信息安全融入DevOps項目，更少的組織達(dá)到了DevSecOps

3、所需的安全自動化程 度。Gartner認(rèn)為通過采用一些良好實踐，安全架構(gòu)師可以設(shè)計一系列可集成的控制措施，優(yōu)化安全活動，同時，并不損害DevOps的敏捷和協(xié)作精神。安全，從 “守門人”(Gatekeeper) 演變到，賦 能(enable)各團(tuán)隊,缺省就處于安全的狀態(tài)Security shifts from being a gatekeeper toenabling teams to be secure by default.CSO適應(yīng)“快速”安全需要在適應(yīng)快速交付的背景下實現(xiàn)協(xié)同、保障， 提供持續(xù)反饋和風(fēng)險管理能力BCG：Speed is the new scale傳統(tǒng)安全活動需要太多人，安

4、全測試太慢自動化！開發(fā)應(yīng)用就像做三明治軟件配置管理SCM架構(gòu)與設(shè)計二進(jìn)制加固（android）buildepic &story安全可行性&固 有風(fēng)險評估編碼GUI/接口測 試源代碼安全掃描SAST開源組件 安全掃描應(yīng)用系統(tǒng)安全生命周期漏洞與版本聚合&安全度量源代碼安全 IDE本地掃描團(tuán)隊經(jīng)理Development開源組件及Docker入庫安全掃描需求輕量威脅建模Threat Model制品庫（daily）Docker安全掃描黑盒安全掃描DAST制品庫（PR）DEVSIT制品庫（release）自動化安全 風(fēng)險報告第三方庫（開源組件&內(nèi)部依賴組件）功能/系統(tǒng)測試內(nèi)部滲透測試外部滲透測試安全運(yùn)營生

5、產(chǎn)環(huán)境UAT加固及標(biāo)準(zhǔn)化的基礎(chǔ)設(shè)施與平臺（操作系統(tǒng)&中間件&數(shù)據(jù)庫）Unit Testsonar lintIDE掃描單元測試打包 packaging標(biāo)準(zhǔn)化資源發(fā)放 構(gòu)建 Sonar掃描GUI/接口測試泰坦業(yè)務(wù)驗收性能/容量測試上線審批PRO生產(chǎn)環(huán)境 部署驗證數(shù)據(jù)分析安全編碼指南剩余安全風(fēng)險報告BUILD SECURITY IN-開發(fā)過程的安全嵌入DEVSECOPS 中可以集成的工具安全編碼規(guī)范Confluence 標(biāo)準(zhǔn)化與加固CIS Benchmark CI自動集成工具Jenkins源代碼靜態(tài)分析(IDE)：Find Security Bugs源代碼靜態(tài)掃描(SAST)：SonarQube(F

6、ind Security Bugs)開源組件安全掃描(OSS)Black Duck Hub Docker容器安全掃描Nessus for Docker黑盒安全測試(DAST/IAST)IBM AppScanAWVSOWASP ZAP主機(jī)安全掃描:Tenable Nessus配置基線加固安全掃描:Tenable Nessus Docker安全掃描工具:Nessus for DockerFuzzing模糊測試工具：Burp Suite ProOWASP Mantra專項測試工具：SQLMapMetasploitInfection Monkey自動化滲透測試工具集安全知識管理Security Por

7、tal 安全編碼規(guī)范Confluence 供應(yīng)商評估VSAQ輕量級威脅建模Cigital ARAMS Threat Modeling l 安全需求&設(shè)計Jira/安全需求庫主機(jī)環(huán)境驗證測試：Tenable Nessus數(shù)據(jù)庫安全掃描:AppDetective安全風(fēng)險評估記錄Jira/Confluence制品庫Jfrog/Nexus 漏洞修復(fù)計劃JIRA FW開通ITSM tool資產(chǎn)管理平臺漏洞聚合平臺ThreadFix代碼質(zhì)量管理平臺SonarQube研發(fā)質(zhì)量可視化平臺泰坦三叉戟持續(xù)度量與可視化：缺陷密度、漏洞數(shù)、風(fēng)險問題走過的路找懂開發(fā)、應(yīng)用架構(gòu)的人在IT項目初期固化引入安全官(ISO)的

8、 模式，基于項目優(yōu)先級確定參與程度全靠人的安全督導(dǎo)和扎口，ISO使用開 發(fā)人員 友好和偏好的（工作流）工具 日常溝通、協(xié)作和記錄流轉(zhuǎn)，如JIRA引流，再引流，宣傳，再宣傳，讓更多 的目標(biāo)范圍的項目組流經(jīng)ISO開始確定項目需要的最關(guān)鍵、最必要（不做不得上線）的安全活動，往往在 生命周期右側(cè)，如PATCH LEVEL，滲 透測試找擅長攻防和滲透測試的人解決資源發(fā)放環(huán)節(jié)的安全，并盡可能自 動化，如“黃金鏡像”制作和更新，解 決PATCH LEVEL，標(biāo)準(zhǔn)化OS、中間件 和數(shù)據(jù)庫等基礎(chǔ)設(shè)施（發(fā)行版和版本）借助CIS基線實現(xiàn)加固的自動化和配置標(biāo)準(zhǔn)化提高上線驗證測試環(huán)節(jié)的自動化程度， 如自助式WEB黑盒和

9、主機(jī)層漏洞掃描引入多源外部滲透測試服務(wù)提供方或者 眾測在SIT、UAT環(huán)境進(jìn)行總結(jié)積累黑盒掃描器和滲透測試發(fā)現(xiàn)的 問題和防御編碼，持續(xù)實時反饋給開發(fā)持續(xù)控制措施“左移”參考BSIMM，確定同行“都在做”的探索實踐“輕量威脅建?！?0天+90天+與研發(fā)質(zhì)量管理的人協(xié)同推動開發(fā)管理統(tǒng)一質(zhì)量靜態(tài)測試工具鏈，盡可能使用開發(fā)常用工具上安裝安全插件，保證體驗的一致性，靜態(tài)檢測前置到IDE使用與研發(fā)質(zhì)量管理一致的質(zhì)量跟蹤機(jī)制，并建立“度量驅(qū)動”的文化和溝通，持續(xù)風(fēng)險問題反饋與安全知識積累與架構(gòu)師協(xié)同，使用統(tǒng)一、一致的架構(gòu)、 框架，從架構(gòu)治理上降低使用高?？蚣?、 組件的幾率，關(guān)注API安全建立基于項目的分級安全評估和咨詢機(jī)制，固化各階段主要安全交付物與活動，確保 系統(tǒng)全生命周期的風(fēng)險問題跟蹤機(jī)制和基 于風(fēng)險的發(fā)布決策（業(yè)務(wù)和IT產(chǎn)品