DevSecOps 实施篇！系列（二）

想在本身公司创建 DevSecOps 计划？没问题，企业规模不管大小，均可轻松实现。这里有5个基本的 DevSecOps 原则能够帮助你启动。固然，若是你对 DevSecOps 还不太熟悉，不妨先看看第一篇文章《什么是 DevSecOps？系列（一）》。

以客户为中心

以客户为中心，能够协调业务与安全之间的关系，从而确保制定准确、完备的安全策略，并让企业的全部成员都可以支持和实施。可是，要把安全和业务产出结合起来，有时其困难程度犹如要把油和醋混合起来。安全专家使劲了浑身解数力图攻破软件，每每仍是很难将这些安全信息和客户以及最终的业务产出关联起来。

实际上，安全的复杂性，以及安全专家和业务专家在工做重心方面存在的巨大差别，会致使决策出现重大分歧。安全专家考虑的是如何保护企业资产的安全，而业务专家关注的是如何冒险知足客户的需求以增长收入。这些原则性的差别会致使双方产生极大的摩擦。

抛开这些分歧，秉持以客户为中心的理念，能够促使安全专家采起更好的安全策略，同时也能够减小复杂性形成的风险控制障碍。此外，安全计划及产出能够适应客户需求和业务产出，其中的复杂性也能够经过自动化和报告进行展现。

最终，支持业务产出的必要控制应当简单易懂，让安全实现成为人人均可以作的事情。

扩展，扩展，扩展

除了以客户为中心，安全扩展也是必要的。若是客户须要快速创新业务来解决问题，而安全专家只考虑本身的安全防御功能，这么作显然不恰当。相反地，他们应当带领安全团队建立相同的工做模式和条件，使安全方案在支持 DevOps 和持续创新之余还要与业务产出相协调。随着连续部署、精益创业、敏捷型、DevOps 和其余创新驱动法成为常态，安全的进一步发展也迫在眉睫。

毋庸置疑，安全专家必须具有精益生产的意识，经过要求软件定义平台帮助收集、解释和报告有关业务资源与环境的安全分析。

实现安全扩展，其实就是经过减小人工处理量以及实现低风险产出需耗费的时间量，达到解决问题的目的。可是，对于安全专家而言，要使安全策略透明化、简单化，以便全部人都可以参与实施，这并非件容易的事情。不过，努力之下，他们仍是有可能改进和发展自动化，容许经过能够扩展安全的自助服务进行风险决策。

「以安全为准则」具备可迁移、共享和完善等附加优点，由于它不是一个读取一次就被搁置和遗忘的文件，而是支持业务产出的整个系统的有机组成部分。

客观标准

你是否曾有过这样的经历：安全报告里有成千上万条发现，有的甚至还看不明白，本身却要根据这个报告快速作出决策。我想任何人收到这样混乱不堪的安全报告，都会以为头痛。实际上，为快速决策提供安全信息正在成为一门艺术，并且经过引入客观的标准和成熟的方法，该艺术形式获得了极大的改善。

客观标准能够帮助业务专家明白要在何时、以什么样的方式和顺序改善业务资源的安全状况。实际上咱们能够认为，安全专家的惟一目标就是为业务伙伴提供可行的修复建议。创建客观标准来衡量企业资产安全无疑是最理想的方式，能够知足业务伙伴为了快速作出决策对可行性建议的需求。

有时，相比于策略，客观标准更为重要，由于它能促进企业内造成成熟的控制机制，使风险决策有据可依。

建立安全记分卡是制定 DevSecOps 计划的基本要素，由于它不只能够为业务伙伴提供指导，并且还能够为持续监测企业资产安全的安全团队提供方向。根据对象的不一样，记分卡能够经过检测仪器和记录结果为决策行为创设情景。

举个例子，若是面向的对象是开发部，使用的度量指标和提供的报告可能更倾向于开发方面，好比每行代码中存在的安全漏洞数量。反之，要是面向运营部，使用的度量指标能够是基础设施和配置方面存在的缺陷和漏洞。不过总体而言，只要建立记分卡便有助于各个团队排除干扰和分歧并作出快速、精准的决策。

主动搜寻

想象一下，若是你的公司可以先于攻击者发现安全漏洞并在遭受攻击前将其修复，能够免掉多少损失？主动搜寻并测试业务资源的安全性，有助于及时发现可能会被对手轻易利用的弱点和缺陷。采起主动策略保护业务资源的安全，也有助于更好地衡量与扩展，由于在业务受损前发现重要的攻击面须要自动化和大量的数据。

可是，仅凭一个好的事件响应进程来实现这个需求是不够的，由于在外部发起尝试性攻击时才发现漏洞，已经为时太晚。

创建主动搜寻的最佳方式是实现构建自动化，利用本身的信息肯定安全缺陷，防止漏洞成为攻击目标。另外，这类功能还能够利用攻击者目前最常使用的被动输入来增强自身的防护策略。从根本上来讲，这类功能不只能够巩固公司技术环境方面的侦察，并且它还容许内联测试与开发，能够在整个业务产出的支持系统中优先执行修复措施。

换句话说，增强内部的安全测试，主动搜寻安全漏洞，对企业颇有帮助，由于修复建议可当即执行，并且还实现了与业务流程的整合。

持续检测与响应

最后，除了牢记以上四个原则，还要确保有连续检测和响应来完成信息发现和实时攻击检测。因为监管流程和基于纸质的控制缺乏攻击分析，DevSecOps 须要持续检测、对照、关联和响应来弥补该欠缺。

简而言之，持续检测和响应相当重要，由于它经过监测和分析外部对公司目标发起的尝试性攻击，能够迅速击退事件。

这彷佛和近十年来所讲的检测和响应没什么区别，但实际并不是如此。虽然大多数公司已有检测和响应实践，可是 DevSecOps 须要更连续的方式来为自动化进程提供反馈，从而加快内部团队获知外部发现和攻击企图的速度。

更重要的是，安全科学的实现意味着企业可使用实时信息识别各种异常事件并作出响应，以用于支持业务产出所需的决策和防护控制预测。

本文由 DevSecOps.org 首发，系 OneASP 工程师翻译。现在，多样化的攻击手段层出不穷，传统安全解决方案愈来愈难以应对网络安全攻击。OneRASP 实时应用自我保护技术,能够为软件产品提供精准的实时保护，使其免受漏洞所累。

本文转自 OneAPM 官方博客