采用DevSecOps的3个基本点

确保应用程序的安全性是开发和基础设施团队关注的问题。应用程序中潜在攻击和漏洞的数量取决于许多因素。代码、它的依赖关系和应用程序的基础设施都会影响它的安全性。当云应用程序使用微服务架构时，由于增加了依赖关系，它需要更多的关注。

考虑到这一点，我们如何降低复杂性以确保云应用程序更安全？在本文中，我们将探讨DevSecOps——为什么它在组织中不断增长，并提供一些在实践中改进DevSecOps的技巧。

什么是DevSecOps？

DevOps更多的是文化而不是技术。同样，当涉及到安全问题和运维时，DevSecOps与文化行为有关。DevSecOps结合了开发、安全和运维，是一套旨在在开发和部署应用程序的整个过程中标准化安全操作的实践。

使用自动化流程检查管道中的安全漏洞是DevSecOps实践中的一个例子。另一个是将不同类型的测试作为发布过程的一部分。这里重要的是在每一步都包括安全检查，而不仅仅是在运行时。还有一个文化因素，需要构建应用程序的人转变思维。

为什么DevOps成为云安全管理的焦点？

安全漏洞代价高昂。它们可以摧毁一家公司或其声誉。在数据时代，攻击者发现的每一个安全漏洞都可能带来灾难。因此，尽快找到它们对于防止违约和减轻此类风险至关重要。

今天，我们有一些工具可以检查依赖关系并提供已知漏洞列表。这样，开发人员可以确保在提交代码之前更新所有内容，这样就不会添加新的违规。

当涉及到带有容器的基础设施时，在pen test环境中复制生产是很容易的。你可以在每个构建中自动化创建环境和执行测试的过程。投资DevSecOps肯定比灾难恢复更便宜。那么为什么不使用它呢？

如何优化DevSecOps流程

简单地实施DevSecOps是防止损失的一大步，根据环境和需求，可以使用许多不同的实践。然而，某些技术对于任何类型的应用都是通用的。下面，我们将讨论一些基本技术，你可以将其付诸实践，以简化DevSecOps团队的日常工作。

向管道添加安全检查

build版本是包括扫描以检查是否添加了新漏洞的最佳时机。此扫描应检查整个应用程序，而不仅仅是新代码。将此检查添加到管道将迫使开发人员更新和修补漏洞，以便管道运行。有四种类型的验证，最好将它们都包括在内：

代码——使用基于漏洞数据库执行静态分析的工具来验证团队创建的代码是否包含任何安全漏洞，例如不安全的数据操作、不安全的签名值使用或许多其他。

依赖关系——应用程序可能使用包含漏洞的不同库，因此请检查它们以避免应用程序中的漏洞。

镜像——由于所有内容都在容器或镜像中运行，所以必须扫描它们。这是因为每个镜像都可以使用许多无法手动检查的依赖关系。

运行时——你还可以使用安全验证工具在运行时验证应用程序。只有在应用程序运行时才能发现一些漏洞，忽略这一事实可能是危险的。

安全警报监控

一个好的可观察性设置不仅是为了监控应用程序的运行状况。它也有助于识别安全问题。例如，端点中的尖峰可能是攻击。因此，你希望创建智能警报，将有关访问源、失败的访问尝试、操作系统和数据库的信息结合起来。

除了这些警报之外，你还可以添加一些预定义的操作，以防止攻击破坏应用程序。例如，尝试计算应用程序的平均使用率，如果出现意外峰值，则阻止或重定向访问。但要确保你与市场营销部门和其他部门保持一致，这样你就可以在检测到或预测到峰值时适当地准备和改变你的极限。

日志访问

出于安全原因，开发人员应该无法在高环境中访问日志。这会使调查安全问题变得困难。

因此，开发团队需要与DevOps和DevSecOps密切合作。如果应用程序存在安全问题，则很可能会通过代码更改来进行修复。考虑到这一点，准备生产日志，以便开发人员可以在需要时访问它们。匿名秘密值并且实现可以快速授权和快速撤销的临时访问策略。

如果日志只能通过DevSecOps访问，那么识别和修复安全问题需要更多时间，因为开发团队需要多次请求日志来识别问题。有了临时访问策略，他们可以更快地开始工作，DevSecOps团队可以专注于调查，而不是向开发人员提供日志。

结论：DevSecOps的未来

保持应用程序和云环境的安全是一项持续的工作。每天都会出现许多新的漏洞，这对于参与软件开发过程的每个人来说都是令人沮丧的。实施流程以减少痛苦是不放弃安全的关键。尽可能自动化。从小处开始，定义一个安全策略和一个简单的流程来部署它，然后进化。始终努力通过灵活的DevOps安全工具和最佳实践来提高云资产的安全性。