SecDevOps入门

问题来了。世界上到处都是坏人。这个世界也充满了糟糕的（让我们称之为不完美的）安全。把这两个事实放在一起，你很快就会意识到为什么计算设备平均每39秒就会受到攻击。在你跳过另一个YouTube广告或早上穿上一双袜子的时间里，另一段代码被利用了。是因为人和电脑都是不完美的。但没关系，因为…
好消息来了。世界上也充满了好人。你在这里，大概是为了阅读如何开始使用SecDevOps，这意味着你可能也是好人之一。你来对地方了。使用SecDevOps，您的组织可以提高应用程序安全性(AppSec)，从而智胜坏人，世界对它来说可能会更好。

什么是SecDevOps

如果您听说过SecDevOps，那么很可能您也听说过DevSecOps和DevOpsSec。这是因为科技行业喜欢用他们的命名惯例来混淆人们吗？嗯…是的，我们有（毕竟，你认为微软为什么跳过Windows9？Windows Vista从何而来？），但这是重点之外的。实际上，在进一步研究之前，这些术语之间有重要的区别，需要首先理解。
DevOpsSec是当今大多数公司所处的位置。DevOpsSec是在代码已经投入生产后用于AppSec的术语。这是90%的公司从他们的安全流程开始的地方，因为他们担心由于安全的手工流程和无法跟上现代管道，安全成为开发周期的瓶颈。
另一方面，DevSecOps专注于将用于构建和保护应用程序的工具本身集成到SDLC中。更传统的是，当人们想到这些工具时，脑海中浮现的是Veracode和Contrast之类的漏洞扫描器。然而，随着DevOps工具链的激增，那些保护它的工具也在激增，比如容器安全工具Aqua和Twistlock，或者云配置工具Fugue和Sonrai。

SecDevOps是将AppSec集成到开发过程中。SecDevOps是整体的，考虑到开发生命周期的每一个步骤，从最初的设计阶段开始，一直到产品推出之后。因此，它侧重于作为SDLC一部分的应用程序安全程序的部署，而不仅仅是测试：这包括理解每个项目适用的策略、验证它们的控制（手动或自动），以及理解安全测试结果的分析。
想想就像做晚饭一样。你需要正确的工具、配料和食谱说明来做一顿饭。如果不知道过程（SecDevOps)，工具和成分（DevSecOps）就没有多大用处。否则，你就有把事情弄得一团糟的风险。

如何落地

文化

SecDevOps首先是一种文化变革。文化转型对一些人来说听起来很可怕，但当这是一个明显朝着正确方向的转变时，就没有什么好害怕的了。好消息是，我们知道开发团队很擅长适应，当这意味着更频繁地交付更好的特性时。世界需要更安全的应用程序，因为它们是我们数字世界的基础。还记得我们之前说过的那些坏人吗？注重安全的文化是一件好事。
当您的组织中存在SecDevOps文化时，AppSec将成为开发过程的一个集成和自然的部分，而不是减慢开发速度的额外步骤。这是一个非常重要的思想转变–如果安全被视为一项额外的家务需要完成，捷径就会被拿走，坏人就会获胜。这就是为什么SecDevOps如此重要。

政策

在您理解了SecDevOps是什么之后，您必须有一种方法来实现它–这是通过策略来实现的。大多数人在考虑政策时只考虑合规，但实际上，合规反映了一家公司的风险状况如何与其更广泛的目标相一致。您的组织的风险承受能力是多少？你如何减轻它？你怎么控制它？这些都是政策中的代码，并决定了如何执行SecDevOps程序。策略为开发和安全团队提供了一个框架和上下文，以便在每个单独的项目中操作，并作为一个好的SecDevOps计划的支柱。

成员

正如其名称所暗示的，SecDevOps的核心不仅仅是过程的集成，而是负责创建、交付和保护代码的团队的集成。

应用程序安全经理花费大量时间在手工繁重的工作上，这使得他们在没有SecDevOps的情况下没有时间成为DevOps的战略合作伙伴。通过对AppSec程序的集中管理，SecDevOps使他们能够专注于作为安全顾问，而不仅仅是看门人–无论是通过参与设计会话和代码审查来主动参与，还是当问题确实出现时，向他们提供与开发合作所需的信息，以便及时解决满足两个团队目标的问题。

当涉及到理解应用程序安全对其项目的影响时，项目经理通常是盲目操作的，这造成了项目交付风险–无论是在时间表上还是在预算上。虽然这听起来有点矛盾，但通过SecDevOps对应用程序安全的集中治理和管理分散了对it的管理，将it的日常所有权交到PMs手中，这样他们就可以做出明智的决策，而不必成为AppSec专家，并使他们的团队能够交付高质量的代码，安全性是质量定义的一部分。

开发人员、架构师和操作人员是在第一线执行策略的人员。所以，你想让他们尽可能容易地这样做。这意味着集成到他们现有的工作流中，无论是他们的票务系统、IDE、拉请求还是构建工具。此外，确保它们能够以双向的方式成为流程的一部分，这样您就可以获得关于策略的有效性以及它们是否已经实现的反馈。
这有什么关系？
虽然SecDevOps是将应用程序安全流程完全集成到SDLC中的一种终极状态，但它并不是一种乌托邦式的愿景。相反，这是一种实用的方法，任何规模的团队今天都可以开始使用，以确保他们获得更好的集成应用程序安全性的好处。