DevOpsDays 是一个全球知名的系列技术会议品牌,内容涵盖了软件开发、自动化、测试、安全、组织文化以及 IT 运营的社区会议等。DevOpsDays 由 DevOps 之父 Patrick Debois 先生创办,组织中汇聚了互联网、金融以及各行各业的 DevOps 实践者,通过分享、交流彼此先进的技术思想、理念和业内最佳实践,各界精英和行业内顶尖专家以行动推动了 DevOps 在全球范围的落地。在过去十年的发展中,DevOpsDays 以城市为单位迅速席卷全球,当之无愧地成为了 DevOps 圈中最具影响力的国际盛会。
在 2021 届 DevOpsDays Tokyo 大会上,众多 DevOps 领域大咖们带来了精彩的主题分享。DevOps 之父 Patrick Debois 也在线上为参会者答疑,分享最具价值的 DevOps 实践。CODING 资深技术专家、布道师——周纪海也受邀参与大会并在线上以 DevSecOps 工具与实践为议题进行分享。
以下为周纪海在 DevOpsDays Tokyo 上分享的演讲内容——《 DevSecOps 在大型银行中的落地实践》
DevSecOps 概念、诞生缘由及优势简介
DevSecOps 是 Gartner 在 2012 年就提出的概念,其原始术语是" DevOpsSec "。2017 年 RSA 峰会之后,DevSecOps 开始成为世界热门话题。DevSecOps 基于和延续 DevOps 的理念,其设计与执行仍然处于 Agile 的框架之下。DevSecOps 的目标是将安全嵌入到 DevOps 的各个流程中去(需求,架构,开发,测试等),从而实现安全的左移,让所有人为安全负责,将安全性从被动转变为主动,最终让团队可以更快,更安全地开发出质量更好的产品。
传统模式下,在整个研发流程(需求,开发和测试)完成之后,在上线前需要进行安全评审。因此整个交付周期就是研发时长加上安全评估的时长
DevOps 模式下,通过自动化,敏捷开发,团队协作。微服务设计等 DevOps 理念将整个研发阶段的时长缩短了,从而减少了交付周期。但是,由于传统的 DevOps 模式没有考虑安全,因此上线前的安全评审时长并没有因此改变。这里可以清晰的看出,整个研发流程的瓶颈是在上线前的安全评审阶段。
DevSecOps 模式下,由于无感地左移了上线前安全评审的部分工作到开发团队,使得安全评估阶段的时长变短,从而进一步缩短了交付周期。
DevSecOps 可以给研发效能提供诸多好处,主要表现在三个方面:
更快 - DevSecOps 通过自动化安全工具扫描,无感地左移了部分传统模式中在上线前最后阶段进行的安全扫描工作,使得整个交付周期变得更短,交付速度因此变得更快。
控制风险 - DevSecOps 减少了开发团队对安全部门/团队的依赖,通过安全左移让开发团队具备发现和修正部分安全隐患和漏洞的能力。
节省成本 - DevSecOps 由于在 SDLC 前期阶段发现并且修正安全隐患和漏洞,避免了传统模式中在上线前最后阶段进行安全扫描发现高危安全漏洞后进行的返工,从而从流程上节省了成本。
DevSecOps 在实际落地中所面临的挑战
在 DevSecOps 实际落地中面临了诸多挑战,其中以技术挑战和人文挑战最为典型。一方面,软件开发是一个复杂的过程,需要 DevSecOps 提供相应的自动化工具支持,但由于 DevSecOps 是个全新的理念,市场上可以选择的工具较少;另一方面,人们对于信息安全的重视,推行 DevSecOps 后开发人员额外增加的工作量,以及管理层的支持与否都成为 DevSecOps 是否能够顺利落地的关键因素。不过,即使没有前者的阻碍,现阶段开发人员关于信息安全知识的储备较为缺乏,面对安全漏洞时无法顺利修复,也为 DevSecOps 的落地带来了极大的阻力。
DevSecOps 中常用的安全工具种类