什麼是開發資安營運?
開發資安營運 (開發、資安和營運的縮寫) 是一種開發實踐方式,會在軟體開發生命週期的每個階段中整合安全性計畫,以交付穩健且安全的應用程式。
開發資安營運將安全性加入持續整合和持續交付 (CI/CD) Pipeline 中,使開發團隊能夠以開發營運的速度,因應當今最緊迫的部分安全性挑戰。
過去,通常是在開發生命週期的後期,才引入安全性考量和實踐方式。然而,隨著更複雜的網路安全攻擊興起,以及開發團隊轉為採用更短、更頻繁的方式進行應用程式迭代,如今開發資安營運在這個現代化的開發商業網路中,逐漸成為確保應用程式安全無虞的首選實踐方式。

《開發資安營運簡易指南》(DevSecOps for Dummies)

實際運用開發資安營運
開發資安營運具備哪些優勢?
安全性是當今每個企業的首要優先事項。幸運的是,開發資安營運強調在每個階段中融入安全性的做法,已證明為更加安全的開發方法,同時還可滿足現今快速發行週期的高速要求。
開發資安營運方法可帶來特有的優勢:
- 強化應用程式安全性
開發資安營運嵌入了主動式方法,可在開發生命週期的早期階段,減輕網路安全威脅。這意味著,開發團隊可仰賴自動化安全性工具來快速測試程式碼,無需減緩開發週期速度,即可執行安全性稽核。
開發營運團隊會在開發流程的各個階段,針對程式碼進行檢視、稽核、測試、掃描和偵錯作業,以確保應用程式通過關鍵的安全性檢查點。在安全性弱點暴露時,應用程式安全性和開發團隊會協同作業,從程式碼層級研擬解決方案,進而解決問題。
- 跨團隊共同負責
在開發流程早期,開發資安營運會集結開發團隊和應用程式安全性團隊,建立跨團隊的協同作業方法。各自孤立、分散的作業會扼殺創新,甚至導致業務單位之間出現分歧,而開發資安營運則讓各團隊能提早達成共識,從而實現跨團隊認同和更高效率的團隊協同作業。
- 簡化應用程式交付
提早且頻繁地將安全性嵌入至開發生命週期中、盡可能地將多個安全性流程自動化並簡化報告等,這些行動都可強化安全性並提升合規團隊的能力,確保安全性實踐方式能協助加快開發週期。
例如,假設開發團隊完成了某個應用程式的所有初始開發階段,卻在將該應用程式投入生產之前,才發現存在許多安全性弱點。如此一來,就可能導致交付嚴重延後。
- 縮減安全性弱點
運用自動化技術來識別、管理和修補常見弱點與暴露 (CVE)。提早且頻繁地使用預先建置的掃描解決方案,以掃描在建置 Pipeline 中的預先建置容器映像有無 CVE。引入可降低風險並為團隊提供洞悉的安全性措施,就能讓團隊在發現弱點時快速修復。
開發資安營運的最大優勢之一,是建立了簡化的敏捷開發流程;這種方法如果使用得當,即可大大縮減安全性弱點。許多網路安全測試流程、工作和服務,都可以十分輕鬆地與應用程式開發或營運團隊中的自動化服務整合。
若能在開發流程中著重採用安全性優先的方法,企業即可排除無疑會影響產品發行時間表的未知變數。
開發資安營運為什麼至關重要?
在當今的商業環境中,對於減少日益頻繁的網路攻擊而言,開發資安營運格外重要。透過提早且頻繁地實作安全計畫,許多產業中的應用程式就可實現下列優勢。
- 政府單位:用於管理高度敏感政府資訊的應用程式,向來都是惡意網路攻擊的目標。透過採用安全性優先的開發方法來強化這些應用程式,就能大幅降低惡意實體發現和利用弱點的機率。
- 醫療照護業:在醫療照護領域的應用程式設計中,開發資安營運正逐漸成為首選標準。由於企業需要遵守 HIPAA,因此我們也可愈發清楚地看出,採用安全性優先的方法,就能大幅降低病患個人身分識別資訊遭到暴露或利用的可能性。
- 金融業:開發資安營運也有助於在金融業中推行開發實踐方式。現今,金融業是網路攻擊的主要目標,因此開發公司皆優先採用開發資安營運模式,以縮減網路罪犯存取敏感資料的可能性。
開發資安營運如何運作?
VMware 的開發資安營運方法,旨在為開發團隊提供完整的安全性堆疊。這可透過在開發、發行管理 (也稱為營運) 和企業的資安團隊之間,建立持續的協同作業關係,並在 CI/CD Pipeline 的每個階段中,著重推行這項合作來實現。
CI/CD Pipeline 可分為六個階段,分別為編寫程式碼、建置、儲存、準備、部署和執行。
此處會說明工作流程的每個階段,以闡述在流程早期嵌入安全性的優勢。
- 編寫程式碼
對於符合開發資安營運的開發方法而言,第一步就是在安全且受到信任的區段中編寫程式碼。在此階段,VMware Tanzu® 提供的工具可對這些本質上即安全無虞的建構區塊執行定期更新,讓您從一開始就能更妥善地保護資料和應用程式。 - 建置
為了提取程式碼,以及交付內含核心作業系統、應用程式相依性和其他執行期間服務的全方位容器映像,需要具備安全的流程。VMware Tanzu Build Service™ 不但可安全地管理前述流程,更可提供執行期間相依性掃描功能,以強化安全性,從而使開發資安營運團隊能安全敏捷地進行開發。 - 儲存
在現今不斷進化的網路安全環境中,任何現成的技術堆疊都應視為風險。有鑑於此,我們應持續檢查每個現成的應用程式或後端服務。幸運的是,利用 VMware 技術,開發人員即可使用 VMware Tanzu 安全地提取明確的相依性關係,並使用 VMware Carbon Black Cloud Container™ 掃描容器映像中的弱點。 - 準備
在部署之前,企業需要確保其應用程式符合安全性原則。為了達成此目標,VMware Tanzu 和 Carbon Black Cloud Container 可在進入開發週期的後續階段之前,先根據企業的安全性原則驗證設定。這些設定定義了工作負載應有的執行方式,不僅可對潛在弱點提供重要洞悉,也可設定 CI/CD Pipeline 的後續階段,進而確保部署成功。 - 部署
在先前步驟中提供的掃描結果,讓企業能全面瞭解應用程式的安全性強度。在此階段中,會清晰呈現開發流程中已識別的弱點或設定錯誤,讓企業能修復問題並定義更強大的安全性標準,進而推動實現更強健的安全態勢。 - 執行
在執行部署後,安全營運團隊就可運用主動式部署分析、監控和自動化功能來確保持續合規,同時降低部署後出現弱點的風險。
開發資安營運與開發營運
從名稱上看,很容易認為開發資安營運只是開發營運加上安全性,但事實上並非如此。
開發營運是開發和營運的縮寫,完全聚焦於這兩個不可或缺的團隊在開發流程中的協同作業。在開發營運中,這兩個團隊會攜手合作,共同針對目標擬定流程、KPI 和里程碑。如此一來,營運團隊就能更仔細地分析交付階段,同時評估開發團隊持續提供的更新和回饋。
開發資安營運則是開發營運的迭代版本,因為開發資安營運採用了開發營運模式,並以額外層級的形式,將安全性附加至持續開發和營運流程上。開發資安營運並非將安全性視為事後補救措施,而是從安全性和減少弱點的角度,提早引進應用程式安全性團隊來強化開發流程。
相關解決方案與產品
Tanzu Application Platform
可在任何 Kubernetes 和任何雲端上執行的應用程式感知平台
Tanzu for Kubernetes Operations
多雲容器基礎架構
VMware Aria Automation for Secure Clouds
主動管理雲端安全性洞悉及合規風險