如今，DevSecOps的大多數問題都回到了組織，他們試圖通過在產品周期結束時添加測試來“修復”安全性，希望能夠抓住一些關鍵漏洞。在本文中，學習如何通過有效策略將安全測試轉移到支持DevSecOps的最早開發階段來解決這一問題。

在上一篇文章中，我討論了SecDevOps以及為什么它比常用的DevSecOps更好。安全性通常在發布產品之前作為附加程序或門控流程保留，但是當產品半途而廢時，很難解決安全性問題。如成功將SecDevOps中的安全性向左移（更常見的名稱DevSecOps并不暗示）一樣。安全性必須成為每個開發人員日常工作流程的一部分，并且必須集成到軟件管道中。

作為Parasoft產品副總裁，我的工作是確保我們為客戶簡化此工作。這是什么意思？首先，這意味著自動化安全控制和策略的左移，以幫助我們的客戶在管道中建立安全性，同時減少DevSecOps的影響和風險。你是怎么做到的？在下面閱讀更多內容，以了解如何緩解將安全性集成到DevOps中的傳統挑戰。然后，我們將檢查DevSecOps工作流程，該工作流程已成功將安全性向左移動（應為左移）。

解決阻礙成功的DevSecOps策略的挑戰

如今，DevSecOps的大多數問題都回到了組織，他們試圖通過在產品周期結束時添加測試來“修復”安全性，希望能夠抓住一些關鍵漏洞。以下是發生這種情況的原因和原因，以及如何使用更智能的安全方法解決它們。

挑戰：很難知道如何“修復”安全性

大多數開發人員和測試人員還不是安全專家（尚未！），因此，當不清楚要做什么時，要在開發的后期階段“修復”安全性是一個很高的要求。

解決方案：逐步提高安全性

相反，團隊可以使用集中化策略（例如安全編碼標準和針對常見漏洞的靜態分析檢查）來逐步改善整個開發生命周期中的安全性。另外，安全工具可以為開發人員和測試人員提供有關漏洞存在的原因，如何利用漏洞以及最終將其刪除和測試的指南。使用Parasoft的靜態分析工具，您可以輕松地基于行業安全的編碼標準（即CWE，OWASP，CERT，UL 2900）定義集中式策略。還內置了文檔、示例和嵌入式培訓，以使整個團隊可以繼續學習下一步的工作。

挑戰：周期末安全測試導致生產中的延遲和漏洞

試圖將鞋拔的安全性變成幾乎完整的產品的通用方法是不夠的。太多的漏洞正在進入生產代碼。

解決方案：將安全性分析集成到開發的最早階段

相反，可以將安全性納入日常開發和運營中。開發人員應該能夠直接在IDE內部執行分析，從而將安全合規性轉移到開發的早期階段。Parasoft工具與構建過程集成在一起，并提供CI插件以驗證漏洞不在CI管道之外。收集的數據存儲在每個構建的基礎上，可用于報表和分析儀表板。

挑戰：直到最后一刻，項目安全風險的狀態未知

由于缺乏任何類型的漏洞評估，因此在進行某種測試之前，項目具有完全未知的安全風險。完成后期周期測試后，發現的安全漏洞往往會導致后期周期變更和返工。盡管在最后一刻做出了英勇的努力，但許多安全漏洞仍將其傳遞給客戶。

解決方案：持續監視軟件質量和安全性

為了實現優先級劃分和課程更正，實時合規性報告應提供易于訪問的儀表板，并具有數據的頂級和深入了解。Parasoft通過高度可定制的安全儀表板消除了安全監督的開銷，這些儀表板是交互式的，可以從任何位置訪問，并且可以針對任何用戶進行設計，從開發人員到團隊領導再到上級經理。

使用Parasoft進行更智能的SecDevOps工作流程

如果您了解上述挑戰并且已準備好上手，則首先將測試工具集成到現有開發工作流程中。這是每日采用和從投資中獲得最大投資回報的關鍵。讓我們看看如何將Parasoft工具集成到典型的CI/CD管道中，以及如何利用它們在DevOps中“左移”安全性。

在這里，您可以看到工作流中的前提交和后提交，以及在將代碼提交到源存儲庫之前和之后的代碼分析。在簽入代碼之前幫助開發人員提高質量和安全性是“左移”的重要優勢。我們的工具從此處開始，然后在檢入、構建和部署代碼之后繼續提供幫助。

預提交工作流程：

1. 確定適合項目和組織需求的安全標準（例如OWASP，CWE，CERT）。例如，可以自定義級別和編碼標準的組成，以滿足您的需求，并且可以將安全性和質量標準結合在一起。
2. 將安全策略封裝在測試配置中。通常在整個項目中由團隊負責人集中完成。
3. 使定義的配置可供開發人員在編寫和測試其代碼時使用。這里的主要好處是在每個開發人員的桌面環境中都采用了這些標準，因此每個人都在按照相同的標準進行工作。
4. 檢入之前將檢查器應用于代碼。我們的經驗表明，最佳實踐是不要使對測試配置的合規性成為檢入門，因為這將影響團隊的效率和采用安全編碼做法。經常會由于各種原因（工具不一定進行評估）而簽入不完全兼容的代碼，并且工作流的提交后部分的目的是執行“完整分析”并充當安全網。

提交后的工作流程：

1. 生成代碼，運行現有測試，并執行項目范圍內的靜態分析。
2. 檢查發布到安全儀表板的結果，以確定需要關注的領域。
3. 分析結果，確定違規的優先順序，并以任務的形式為相應的開發人員分配違規。使用Parasoft，可通過預設和可自定義的儀表板獲得即時反饋。
4. 采取措施解決已發布并在每個人的IDE中可供查看的警告和違規行為。

內置安全性是質量的一部分

大多數軟件團隊都知道交付高質量代碼的需求，而不管其當前過程的成熟程度如何。利用現有的心態來提高安全性，您可以將安全性要求、控件和標準交織在一起，作為現有質量改進過程的一部分。在儀表板級別，實時查看安全法規遵從性，并能夠根據突出顯示的關注區域深入研究問題區域，有助于安全性成為日常質量管理的一部分。

總結

重要的是在開發生命周期中盡早確定安全的優先級，以“左移”執行安全標準和良好實踐，并成功實現DevSecOps。為此，您需要一個易于開發且易于采用的過程來在開發人員編寫代碼后立即檢測并消除漏洞。Parasoft的實時、可自定義的分析和報告儀表板向團隊負責人和安全專家提供有關項目狀態，對選定標準的遵守情況以及最關注的確切問題的即時反饋，以便整個組織可以了解風險。