对于高度关注安全的企业而言,特别是希望在快速开发的过程中(例如推行DevOps等敏捷框架)保障安全的企业,美国国家安全局(NSA)给出了一条重要“指示”:多测试,慢一点,只有稳扎稳打,开发人员才会真正迸发出能量

国安局DevX团队的DevOps管道技术负责人Eric Mosher在上周虚拟GitLab Commit大会上分享,从2018年开始,国安局启动了全新项目,旨在为内部开发人员提供更好的开发环境支持,合并多个源代码库实例。虽然作为秘密政府机构,国安局必须在大型隔离网络内工作,但其DevX团队仍然立足AWS开发出“高度可用、具备弹性且可扩展的业务架构”。Mosher表示,“AWS架构”帮助他们在安全环境中实现了软件的快速开发

国安局的源代码库最初是在2013年通过代码安装完成,2018年被弃用,取而代之的是用于改善开发人员工作体验的DevX项目。DevX团队对原有环境进行了全面的重新设计,希望在保障安全要求的前提下,尽可能将自定义配置控制在最低水平。Mosher解释道,以往即使经历无数次测试运行,开发人员仍会遇到各式各样的问题。

他指出,“我们不知道该选择哪种正确的测试方式,国安局明显需要更智能、自动化程度更高的解决方案。在升级之后,我们引入了更多自动化测试手段……同时也让自动化与智能化得以融合。”

Mosher表示,最终,DevX项目引入了全面支持DevOps的业务管道,在帮助政府开发人员快速构建功能的同时,继续严格遵循国安局运营条例中提出的安全要求

他提到,“对我来说,真正重要的任务就是把开发人员们服务好,让他们切实体会到我们为他们赋予的权利与达成使命的能力。”

国安局还与其他多家企业携手推动将DevOps与安全性相结合的DevSecOps倡议,各方也在过去一年中体会到由此带来的重大助益。Forrester 研究公司副总裁兼研究总监Amy DeMartine在本届虚拟大会上表示,开发人员得以有效衡量其代码质量并获得来自客户有效的反馈,这两项指标也为安全保障提供了有力支持。

Amy 提到,“开发人员最关心的是什么?事实上,他们的评估方法与安全团队的评估思路截然不同。但考虑到双方所关注的内容、评估方法以及获得成功的具体方式时,我们意识到安全性其实是双方共同的诉求。”

在商业竞争推动企业快速发展的同时,网络安全的残酷现实也让众多组织被迫在开发流程中更多考虑到安全检查的重要意义。例如,根据Forrester方面的报告,2019年有三分之一企业承受违规带来的后果,而在外部攻击事件中造成违规的主要原因包括40%的软件漏洞以及37%的Web应用程序漏洞。

面对这一难题,自动化既能够加快开发速度,又可以提高安全性水平。根据调查,在未来12个月内,开发人员的首要任务包括更多基于云的开发环境并更好地满足组织自身的业务需求,而自动化也成为未来十大优先事项之一。开发人员希望提高安全开发生命周期的自动化程度、加快发布速度与部署周期,同时计划运用更多开源软件成果以缩短开发时长。

根据Forrester的调查结果显示,38%的开发人员以每月一次甚至更高的频率发布软件成果,这一比例高于2018年调查中的27%。

Amy 解释道,自动化技术在安全领域的效果甚至比助力开发本身还要更强一些。据统计每天对应用程序进行自动扫描的企业(每年300次或以上),其安全漏洞修复速度要比每年扫描少于3次的企业快11.5倍

Amy 表示,“企业显然正在努力加快产品发布速度,希望更全面地将自身优势呈现在客户面前。”

Forrester还建议各类组织机构应实施静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)以及软件组成分析(SCA)等方案。截至目前,只有三分之一的企业在开发阶段实施静态应用程序安全测试,相比之下决定在开发与测试阶段中实施动态应用程序安全测试的企业占比更高,分别为34%与43%。交互水平更高的应用程序安全测试(IAST)的接受度还要更高一些。

据Forrester总结,包括管理及检查开源组件安全性在内的软件组成分析类方案,同样保持着旺盛的发展势头。目前已经有37%的企业计划将该功能添加到开发流程内,占已在采用此类方案的企业的31%。

最后,国安局还广泛采用自动化技术以促进并提高自身基础设施的可靠性水平。国安局方面使用Terraform进行云基础设施自动化,使用Ansible进行构建自动化,并使用GitLab推动持续集成与持续部署。Mosher强调称,在这套立足云端构建而成的大型基础设施当中,只有两款应用程序为针对国安局特殊需求定制开发

他总结道,“正因为如此,我们能够迅速行动,清退以往令人头痛不已的大量定制化工作。现在,云平台提供的定制化选项已经非常稳定,而且拥有良好的集成效果。”

原文链接:

https://www.darkreading.com/application-security/testing-and-automation-pay-off-for-nsas-devsecops-project/d/d-id/1338799

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。