新思科技與業(yè)內專家針對DevSecOps對軟件安全性的影響進行了探討

由于軟件安全事件頻發(fā)，相關企業(yè)不得不重視軟件安全，并且積極采取應對和預防措施。在這幾年，隨著軟件安全技術的提升和法規(guī)的出臺，企業(yè)在軟件安全領域也取得了長足的進展。在2020年即將到來之際，新思科技與業(yè)內專家探討在過去幾年對軟件安全產生積極影響的趨勢、流程和技術。

DevSecOps對軟件安全性的影響

- 新思科技高級首席顧問Meera Rao

對于希望轉向DevSecOps并構建安全的企業(yè)來說，以下三個關鍵領域對他們產生了巨大影響：

消除信息壁壘。不要等到錯誤和漏洞對應用造成破壞之后再修復它們，而應像對待DevOps流程中的任何其它錯誤一樣對待安全問題。安全性不應是單獨存在的，不應該是開發(fā)人員僅在發(fā)現安全性問題時才能從中獲得反饋。此外，找到合適的協作自動化工具以使開發(fā)、質量保證和安全團隊能夠一起工作是DevSecOps的重要組成部分。

促進協作變革。企業(yè)希望彌補DevOps與安全性之間的差距，同時又保持生產率和解決方案上市速度，但他們通常沒有意識到整個企業(yè)都需要進行更改。就像持續(xù)集成、持續(xù)交付和持續(xù)部署一樣，開發(fā)、安全和運營團隊之間也必須進行持續(xù)的協作和溝通等等。

培訓和成就安全能手。通過建立培訓和安全支持者計劃，開發(fā)團隊的成員可以通過指導、培訓以及與應用程序安全團隊密切合作，學習并自愿培養(yǎng)軟件安全技能和意識。這些安全能手們在第一線指導開發(fā)團隊應用程序安全性，彌補DevOps與安全團隊之間存在的差距。

面向工具和解決方案的軟件安全趨勢

- 道瓊斯產品安全總監(jiān)Jay Kelath

我看到了兩種軟件安全趨勢，一種是在技術工具方面；另一種是工程方面。

在工具方面，大多數都集中在IAST（交互式應用安全測試）和DAST（動態(tài)應用安全測試）上。這些新技術將徹底改變應用程序的安全性。

其次是以解決方案為導向的應用程序安全性。 AppSec團隊專注于發(fā)現問題，然后讓開發(fā)人員修復問題。事情正在慢慢改變，現在正構建工程師可以使用的解決方案。

這就是道瓊斯的發(fā)展方向。我們正在嘗試面向身份驗證、加密和跨站點腳本編寫這類問題的通用解決方案。

對于我們來說，面向特定技術開發(fā)解決方案更容易，然后告訴開發(fā)人員：“嘿，要使用身份驗證嗎？這里是一個庫、一個模式或一個要使用的工具?！边@種以解決方案為導向的工程安全性越來越受到關注。

云+合規(guī)性=更完善的數據安全

- 企業(yè)數據云公司Cloudera金融服務總經理Steven Totman 和 Richard Harmon

混合云戰(zhàn)略始終承諾并提供更低的成本、更好的敏捷性、更高的運營效率以及更靈活的適應新技術更新換代的能力。金融機構面臨的最大問題是，傳統的本地存儲與公共云和私有云的結合是否可以提供足夠的安全性和治理措施，以抵御欺詐和數據泄露的持續(xù)威脅。

具有諷刺意味的是，盡管混合云環(huán)境會因企業(yè)不斷在私有和/或本地環(huán)境與公共云之間移動數據而帶來安全風險，但它們仍可以實現更大的災難恢復和更高的數據安全性。因此，銀行將處于更好的狀態(tài)以實現合規(guī)性。這是因為將數據放在一個地方通常比在整個企業(yè)的多個信息孤島中分散保護起來更容易。此外，云供應商在確保數據安全方面有著巨大的既得利益。

軟件安全及硬件安全的趨勢

- 新思科技首席安全官Deirdre Hanford

除了需要安全的軟件（我們和其他幾家公司都在這一領域開展業(yè)務）之外，還有一種新興趨勢是確?；A硬件也安全。新思科技有很大一部分業(yè)務是半導體設計，提供電子設計自動化軟件工具和芯片設計構件。

我們越來越多地從合作伙伴那里聽到，他們不僅希望構建像IoT設備這樣的超酷且功能強大的芯片，而且還需要安全的IoT設備。他們希望確保不僅在該芯片上運行的軟件是安全的，而且底層硬件也得安全。我的大部分職業(yè)生涯都是和硬件打交道，看到硬件團隊的需求中出現安全性，這使我倍感興奮。

GDPR條例的實施改善了網絡安全

- Check Point

《通用數據保護條例》（GDPR） 不可避免地重塑了歐洲（乃至全世界）企業(yè)如何處理網絡安全的模式。

企業(yè)采用全面的安全計劃，在設計階段將安全性深度集成到IT系統中，而不是在部署后進行改進。得益于此，企業(yè)將獲得一致且更強大的數據安全性。整合安全體系結構，將其嵌入平臺中并貫穿整個IT網絡，這通常在解決網絡安全事件和提升GDPR合規(guī)性方面更為有效。

軟件安全培訓日趨增多

- 新思科技高級安全顧問Mahesh Kukreja

企業(yè)越來越意識到安全問題的重要性。對軟件開發(fā)人員安全培訓的需求不斷增長，因此他們能夠從一開始就構建安全軟件。隨著越來越多的企業(yè)需要安全培訓，安全技術也將迅速增強。有些開發(fā)人員對安全性仍然漠不關心（除非系統受到破壞），此類的培訓課程有助于讓他們樹立“安全開發(fā)”心態(tài)。

做好DevOps有助于提升安全性

- Puppet， CircleCI和Splunk，出自2019 State of DevOps Report

在整個軟件交付生命周期中集成安全性的公司更有可能在整個企業(yè)中貫徹DevOps實踐。

我們發(fā)現，在安全集成最高級別的公司中，有22％的公司已達到DevOps演進的高級階段。DevOps的原理和安全性的原理有異曲同工之妙，能為軟件開發(fā)帶來積極影響（包括文化、自動化、評估和共享），能確保出色的安全性。

濃厚的DevOps文化還支持更強的安全性。共享的文化，團隊使用共同的工具進行協作并朝著共同的目標努力；交付團隊擁有強大的自治能力，但是跨企業(yè)邊界完成工作相對容易—— 這種文化可以使不同部門真正地擔負起共同的安全責任，可以盡早發(fā)現問題并以最佳方式解決問題。