我們如何在文化上改變解決安全問題的方式？我們首先用它應得的重力來處理它，然后從一開始就開始建造它。

毫無疑問，DevOps和安全性是軟件組織的首要考慮因素，將安全性集成到DevOps中的結果是引入了SecDevOps和DevSecOps這兩個術語。將安全性集成到DevOps中的結果已被創造為SecDevOps和DevSecOps。盡管可互換使用，但這兩個詞的順序很重要。為什么這么說？因為在大多數情況下，在部署過程結束時，安全仍然是“附加”的。在這篇文章中，我將討論當安全性是開發的一個組成部分時，從軟件開發過程的開始而不是作為交付管道末端的門戶，如何更容易實現安全軟件的交付。

DevSecOps中的安全性如何？

盡管人們越來越關注安全性，但對于軟件團隊來說，將安全性構建到流程和管道中是一項挑戰。在預算內按時完成項目的壓力往往會超過其他考慮因素。因此，我們傾向于將安全性作為發布候選程序的最后一步添加，如下所示：

傳統的DevSecOps安全方法

由于安全知識通常很少，僅限于組織中的少數人，因此這些人通常被分組為集中安全團隊。安全團隊的任務是使用他們的“魔術盒”來測試產品，以便在部署之前發現候選版本中的漏洞。當團隊不可避免地發現漏洞時，他們會將“壞消息”傳回給開發團隊......但是，由于開發團隊沒有關于如何使用安全團隊正在使用的工具的安全培訓或知識，安全團隊通常被視為“壞人”，因為他們現在因為“一些安全漏洞”而推遲發布。那么團隊的典型反應是什么？

傳統方法會導致生產中出現延遲發布和/或安全漏洞

讓我們面對的是，很難將重要的安全修復、控制和編碼標準納入到一個項目中，這個項目對開發團隊來說是“已經完成和清理過的”。那會發生什么呢？該產品帶著已知的、未知的安全漏洞走出家門，并可能承諾“在下一個版本中修復它們”。這就是當你把安全性放在開發之后-“Dev”，然后是“SEC”，然后是“Ops”。雖然這不是意圖，但這是許多組織的現實。考慮下面描述的更好的方法。

SecDevOps的安全性如何？

安全控制、指導方針、編碼標準和策略必須完全集成到軟件開發過程中。這是通過從一開始就將安全性作為過程和管道的一部分來完成的-“SEC”然后是“Dev”，然后是“Ops”。安全團隊(或者是專門從事安全工作的架構或高級開發人員)預先為團隊定義了必要的策略。

這些策略可能包括安全編碼標準，避免不安全API和加密不良的規則，使用靜態和動態分析的指令以及測試指南。目標是讓開發人員努力使用更安全的軟件作為日常工作的一部分，自動化有助于實現這一目標。

通過自動化，您可以將您的方法轉移到SecDevOps策略的安全性，如下所示：

由于安全性現已在開發階段開始實施，因此團隊自然會更加熟練地掌握安全性，并且在管道末端將發現更少的安全漏洞。

 然后可以調查確實通過的漏洞，根本原因分析的結果用于改進安全策略和指南 - 從根本上改善每個循環進展的結果。

推動對政策的迭代改進會減少對后期周期升級的干擾，如下所示：

這種增量和集成方法比在項目結束時嘗試進行安全審計要好得多。

你是如何實現的？

安全性無法為開發人員增加額外的需求，但是如何管理這項工作的影響是導致按時，安全的產品與后期不安全的產品之間產生差異的原因。一個 關鍵的要求是將安全集成到現有的開發過程中，您可以通過整合Parasoft公司的成套CWE兼容測試工具，使安全質量的一部分，整個工作流程做。

通過以安全為中心的工作流程將安全性作為質量的一部分

工作流程從安全編碼策略開始。架構師或負責人創建一個配置（可能基于編碼指南，如CERT，CWE，OWASP，UL-2900或PCI DSS），以便團隊的其他成員直接在他們的IDE中使用。這使得開發人員能夠在提交源代碼控制之前在其計算機上本地檢查代碼 - 在更便宜和更容易的情況下捕獲和修復安全違規。

然后，通過作為構建過程的一部分執行的分析來利用相同的配置。這種全面的分析超出了開發人員本地修改代碼的范圍，并提供了一個安全網來控制交付管道，以確保不安全的代碼不會被提升到后期階段。

最后，分析結果通過集中報告和分析儀表板發送回開發人員的IDE，可以跟蹤進度，進行過程更正以及實時生成審計報告。

完整的SecDevOps工作流程如下所示：

管理人員和安全主管現在可以在中央儀表板中根據安全標準（如CWE）評估項目，如下所示：

這些儀表板可以顯示趨勢信息和回答問題，例如“項目是否在改善或變得更糟？”或“代碼的哪些區域導致了大多數問題？”

能夠回答這些問題和其他問題，并采取行動，將開發團隊從DevSecOps轉變為SecDevOps。

總結

盡管可以互換使用DevSecOps和SecDevOps，但詞的順序與詞暗示的工具，技術和過程的含義同樣重要。在發布產品之前，安全性通常被作為附加或門控過程留下，但是當產品出門時，很難解決安全問題。像SecDevOps一樣，向左移動安全性是成功的關鍵。安全性必須是每個開發人員日常工作流程的一部分，并集成到軟件管道中。Parasoft自動化安全控制和策略的左移，以構建管道的安全性，同時降低SecDevOps（和DevSecOps！）的影響和風險。

想要了解Parasoft、Parasoft SOAtest、Parasoft Virtualize更多信息或資源的朋友，請