就在你以为软件开发已无简化的余地时，新的解决方案应运而生

随着软件开发几乎每天都在攀升，组织不断尝试以前所未有的速度交付新功能和应用程序。虽然持续集成和持续交付（CI/CD） Pipeline 彻底改变了软件部署，但它们也引入了新的安全注意事项，这就是 DevSecOps 的用武之地。
DevSecOps 的出现不仅仅是一项技术增强。对于任何试图提供安全产品的人来说，这都是一项战略业务要务。因此，向您的老板推销很容易。

关键要点

DevSecOps 从根本上将安全性左移，将其尽早嵌入 CI/CD Pipeline 中以加快交付速度。
实施 DevSecOps 可以培养一种共担责任的文化。它打破了开发、安全和运营团队之间的传统孤岛。
自动化是有效 DevSecOps 的支柱，可确保在所有开发工作中一致地应用安全策略和检查。
CI/CD Pipeline 本身成为一个关键的安全边界，需要强大的控制和持续监控。
DevSecOps 将安全性从感知的成本中心转变为战略价值驱动因素。

为什么 DevSecOps 是个好主意

以下是为什么您应该在 DevOps 中实施 “Sec” 的简短细分：

在这里插入图片描述

将 DevSecOps 集成到 CI/CD Pipeline 中：一个实用的框架

有效实施 DevSecOps 的核心是三个基本原则：

自动化：在快速开发周期中保持安全性一致且无错误的关键。它适合 CI/CD Pipeline，以运行手动方法无法跟上的检查。
持续监控：添加实时警报以快速捕获威胁。
自动化质量门：就像检查点一样，阻止不符合安全或性能标准的代码向前发展。

跨 CI/CD 生命周期的战略集成点

DevSecOps 在整个 CI/CD Pipeline的战略点集成安全性：

预提交和构建：从一开始就保护代码

最早的“左移”甚至发生在提交或编译代码之前。此阶段侧重于防止漏洞进入代码库。主要活动包括：

安全编码实践：从一开始就培训开发人员编写安全代码，并遵守 OWASP Top 10 等准则。
版本控制安全：对代码存储库实施强大的控制，例如分支保护规则、强制性代码审查和安全访问管理（例如，使用 GitHub 或 GitLab 等 Git 平台）。
静态应用程序安全测试（SAST）：编译前自动扫描源代码中的漏洞。SAST 工具为开发人员提供即时反馈。

测试与验证：主动漏洞检测

随着代码的进行，必须执行更全面的安全检查。此阶段允许应用程序在各种环境中安全地运行。主要活动包括：

动态应用程序安全测试（DAST）：扫描正在运行的应用程序以识别运行时出现的漏洞（例如，不安全的 API 或开放端口）。
容器镜像扫描：在部署之前检测容器镜像（例如 Docker、Kubernetes）中的漏洞。这可确保仅使用安全的基础映像和依赖项。
基础设施即代码（IaC）扫描：验证定义为代码的基础设施配置（例如 Terraform、CloudFormation）的安全性。这可以防止部署错误配置，例如过于宽松的安全组或未加密的存储卷。

部署和作：确保安全交付和运行时

最后阶段侧重于保护部署过程本身以及持续监控生产中部署的应用程序。

政策即代码 & 合规性即代码：在整个 Pipeline 和运行时环境中自动执行安全策略和法规合规性规则。
持续监控和威胁检测：利用安全信息和事件管理（SIEM）以及入侵检测系统（IDS）等工具监控运行中的产品是否存在异常情况。集中日志和配置实时警报对于快速响应至关重要。
自动事件响应：实施机制以快速响应检测到的安全事件，例如隔离受感染的实例或撤销可疑的用户访问权限。

构建弹性安全态势

除了应用程序代码之外，还必须保护 CI/CD Pipeline 基础设施本身。这包括使用的工具（例如 Jenkins、GitLab CI）和它们在其中运行的环境。

Pipeline 基础设施的强大安全措施包括实施基于角色的访问控制（RBAC）以限制对 CI/CD 资源的访问并确保安全配置。此外，构建工件（最终软件包）必须存储在具有校验和验证的安全注册表中。

CI/CD Pipeline 现在是组织安全边界的关键部分。安全性必须嵌入到整个软件交付过程中，而不仅仅是在运行时。受损的 Pipeline 可能会影响所有已部署的应用程序。

自动化通过确保一致、可扩展的安全策略实施，发挥着关键作用。对于决策者来说，投资于 CI/CD 安全性和自动化对于维护软件完整性至关重要。

CI/CD 中的 DevSecOps 集成点：

在这里插入图片描述