新思科技強調軟件安全是數字化轉型的“剛需” DevSecOps可幫助企業(yè)走出“安全孤島”

最新《中國DevOps現(xiàn)狀調查報告（2021年）》顯示

新思科技Coverity在安全工具市場占比最高，達32.74%

飛象網訊 我們正走向萬物互聯(lián)的時代，產業(yè)數字化轉型是當下及未來的必經之路，這一切都離不開軟件的驅動。安全是成功數字化轉型的前提。在數字化轉型過程中，原來相互隔離的信息化系統(tǒng)已無法滿足需求，傳統(tǒng)的安全防護方式可能不足以應對更加開放、多元的應用場景，一旦發(fā)生攻擊，企業(yè)將承擔巨大損失。因此，可以說軟件安全在很大程度上影響數字化轉型的速度和質量。

由于新技術不斷涌現(xiàn)及其應用日趨成熟，軟件開發(fā)模式發(fā)生改變，DevOps 快速興起，并緊隨安全“左移”被廣泛認可，DevSecOps 已經成為很多企業(yè)數字化轉型過程中應用安全的基礎保障。這不僅有利于企業(yè)更快速、更安全地將產品上市，也加速了社會數字經濟的發(fā)展。

新思科技一直致力于幫助企業(yè)更快速地構建安全、優(yōu)質的軟件，在推動DevSecOps落地方面有豐富經驗。新思科技強調引入DevSecOps可以從源頭及時治理安全問題，走出“安全孤島”。但是隨著網絡環(huán)境與黑客攻擊方式越來越復雜、企業(yè)文化鴻溝以及高效工具缺失等問題，落地DevSecOps對于現(xiàn)代IT企業(yè)來說是一件很棘手的工作。

新思科技軟件質量與安全部門高級安全架構師楊國梁表示：“DevSecOps不止是一套工具，而是融合開發(fā)、安全及運營理念以創(chuàng)建解決方案的系統(tǒng)方法。這需要把人員、流程、技術、工具結合起來，由內到外強化應用，使其能夠靈活防御各種潛在威脅。新思科技通過實際經驗總結出一些建議，助力企業(yè)更高效地落地DevSecOps，進而推動產業(yè)數字化轉型，更快地邁上高質量發(fā)展之路。”

培養(yǎng) DevSecOps 文化和思維，進行安全培訓

DevSecOps的核心是文化和思維方式。以前，安全防護只是特定團隊的責任，在開發(fā)的最后階段才會加入；但是這種做法現(xiàn)在已經行不通了。DevSecOps要求

通過專業(yè)培訓在企業(yè)內部全面建立起安全意識與安全保障機制。有些企業(yè)會有一種誤區(qū)，覺得開發(fā)人員可以滿足整個軟件開發(fā)生命周期(SDLC)中的任何安全需求，或者開發(fā)人員可以自學這些安全知識。

楊國梁介紹道：“自學可能適用于少數開發(fā)人員，但是需要多長時間以及評估指標是什么很難界定，尤其是DevSecOps還沒有在真正意義上普及起來。企業(yè)更需要安全專家提供培訓，以幫助他們與時俱進。新思科技可以提供安全發(fā)展計劃和培訓、CI/CD 戰(zhàn)略與規(guī)劃及云安全評估等，推動企業(yè)循序漸進地部署DevSecOps。”

企業(yè)可以將DevSecOps文化融入日常職能，平衡安全、速度和規(guī)模。如果內部某一團隊有效實施了DevSecOps，并從中獲益，那他們可以成為其他團隊的范例，復制成功。

整合自動化工具，內置安全

云計算開源產業(yè)聯(lián)盟近期發(fā)布的《中國DevOps現(xiàn)狀調查報告（2021年）》顯示，五成以上的受訪企業(yè)嘗試實踐DevSecOps。而且，源代碼靜態(tài)安全檢測、容器鏡像安全掃描以及Web應用防火墻成為企業(yè)應用最廣泛的DevSecOps實踐。

楊國梁說：“報告指出Coverity靜態(tài)應用安全測試(SAST)是企業(yè)應用最為廣泛的四種安全工具之一，并且占比最高，達32.74%。這證明了新思科技的靜態(tài)分析解決方案已經受到中國市場的充分認可�！�

憑借Coverity，企業(yè)可以實現(xiàn)大規(guī)模靜態(tài)分析自動化，幫助開發(fā)和安全團隊在SDLC早期解決安全和質量缺陷，跟蹤和管理整個應用組合的風險，并確保符合安全和編碼標準。此外，新思科技還提供Black Duck軟件組成分析(SCA)、Seeker交互式應用安全測試(IAST) 以及API 安全測試等工具，在軟件中內置安全，并貫穿整個SDLC。

將安全漏洞視為軟件缺陷，適時評估安全計劃成果

安全漏洞的報告方式通常不同于質量和功能缺陷。通常，企業(yè)在兩個不同的位置維護兩種類型的結果——安全和質量。這降低了每個團隊和相關人員在查看項目的整體安全狀況時的可見性。在同一處維護安全和質量有助于團隊以相同的方式和優(yōu)先級處理這兩種類型的問題。

在企業(yè)部署工具發(fā)現(xiàn)質量和安全問題并進行修復后，要如何評估安全計劃的整體成果，以持續(xù)推進DevSecOps呢？企業(yè)需要一把標尺。

新思科技軟件安全構建成熟度模型(BSIMM) 是一種基準工具，通過數據驅動的客觀方式展示當前軟件安全性活動的概況。與規(guī)定性模型不同，描述性模型BSIMM實際相當于一個行業(yè)報告，企業(yè)可以參照其中的數據來定位自己的坐標，考核軟件安全計劃大致在一個什么水準，是否需要做改進和進一步提升等等。企業(yè)可以憑借這把標尺決定哪些額外安全活動對支持其整體DevSecOps戰(zhàn)略有意義，并且有針對性地制定下一步計劃。

楊國梁總結道：“軟件安全是數字化轉型的‘剛需’，DevSecOps可將安全防護融入整個SDLC，充分發(fā)會DevOps的敏捷性和響應力。當然，落地DevSecOps不會一蹴而就，需要一套整體的規(guī)劃，覆蓋人員、技術、流程、評估等。因此，軟件開發(fā)需要聯(lián)動安全開發(fā)與業(yè)務、運維等，將安全開發(fā)作為企業(yè)文化延伸到各個部門。新思科技一直強調安全測試應盡可能在 SDLC 的最左側（即最早期）開始，即安全‘左移’。防患未然，才能為DevSecOps順利落地保駕護航�！�