RSA2019观察：DevSecOps实施中的文化融合与能力构建

DevSecOps是安全领域中一个成熟的技术系统，本质上继承了安全开发生命周期（SDL）中安全门左移的概念。DevSecOps的主要特点是能力集成、持续学习和文化集成。今年RSAC DevSecOps日的主题是DevOps Connect，它通过持续集成/持续交付（CI/CD）和有效的测量来提高效率。文化的融合与冲突成为本次会议主持人之间的重要话题，如红队文化与开发者之间的冲突、技术与非技术人员之间的冲突（包括人力资源等职能）、管理与管理之间的冲突。让我们以红队和开发人员之间的冲突场景为例。红队习惯于“惊喜”（提出高风险漏洞，但不提供解决方案）和“机密”（伪装成红队获取私人数据），但这些都不容易被开发人员和组织接受。

许多从业者已经意识到DevSecOps实施过程所引起的文化冲突，并试图解决这个问题。Larry Maccherone发布了Dev[Sec]Ops宣言：构建安全性，而不是依赖安全性。·不仅依靠安全专业人员，而且依靠授权的工程团队·不仅追求安全功能，而且追求安全实施功能·采用特定的或一般的最佳实践，而不是“伪”的全面措施·而不是依靠法规和规章。以文化变革为基础的文化建设和变革不仅需要使用培训和会议交流等工具，还需要重新设计组织，例如建立一个“扭曲”和开放的组织。将安全人员整合到每个开发团队中，而不是一个封闭的部门。通过这种方式，掌握安全能力的人员可以深入到业务、开发、运营等各个领域，确保DevSecOps真正创造价值，而不是成为效率的瓶颈。争议解决过程也依赖于自动化和测量。用演讲者的话来说，“简单的事情自动化，专注于复杂的事情” 。基于这一原则，通过推进“简单领域”的自动化和集成，并专注于业务领域的复杂问题（业务领域知识、组织和管理流程），可以逐步建立和实现DevSecOps实施路线图和里程碑。

在本次会议上，我们看到了实践DevSecOps的组织和演讲者广泛使用的测量机制。测量机制的优点是，效率的提高可以量化，并用数字来说明。这是减少冲突的有效方法。对于DevSecops的实现路径和测量哲学，Larry Maccherone提出了九个实践要点和七个文化接受阶段。以下9个实践要点是安全意识、安全编码、威胁建模、第三方导入代码分析、代码创建分析、团队合作协议、高风险漏洞清理、同行评审和安全评估。

DevSecOps的9个关键实践分为7个阶段来衡量9个关键实践，直观地展示了组织内部对DecSecOps的实践和接受程度，并全面了解了企业的安全开发能力和开发状态，为持续深度改进奠定了良好的基础。

通过多年在金融、企业、运营商等行业的实践，绿色联盟技术安全服务团队总结了基于DevSecOps提高组织安全开发能力的五个关键成功因素，即安全开发管理流程、安全开发知识库和工具、安全人员组织、衡量和评价指标、安全人员组织等。我们正在进行持续优化。

围绕上述因素，绿联盟技术安全服务团队为基于SDL和DevSecOps的安全开发增强服务设计了方法和整体框架，并构建了一个安全开发功能平台，以协助安全服务的实施过程。通过基于服务功能的平台产品，实现了实施过程中各种安全开发资源的整合和管理。●集成Jenkins、Gitlab等DevOps工具链;定制和组织6种代码安全审计工具和超过3000条规则。●专家级知识库○基于威胁建模的威胁库○900多个，应用安全、通信安全、系统部署维护安全四大类，典型业务场景安全的安全需求基础○82个场景，涵盖540个安全设计库

安全开发能力平台可以最大限度地延长安全开发的控制时间，解决持续集成阶段的代码安全问题，通过专业知识库的构建，降低组织对“开发”、“Sec”或“Ops”人员的安全能力要求。通过拥有丰富行业项目经验的安全服务顾问，我们帮助企业完成跨部门安全文化的建设和流程。最终实现了安全开发工作的全闭环。虽然由DecSecOps社区主办的2019年RSAC DevSecOps日活动的受欢迎程度超出了预期，但与CSA社区的受欢迎程度相比，其受欢迎程度大幅下降。发布的书籍和海报是了解DevSecOps技术和文化的重要窗口。DevSecOp社区通过在空间上划分“造轮子”安全供应商和专注于分享实践经验的第一方，体现了DecSecOps社区的行业生态理念。在即将到来的DevSecOps中，我们预计将看到像ShiftLeft这样的创新沙箱中的新玩家。

社区供应商。

Community Reading

DevSecops海报