什麼是 DevSecOps 開發安全性營運?
DevSecOps 開發安全性營運 (開發、安全性與營運的簡稱) 是一種開發實踐方式,可在軟體開發生命週期的每個階段整合安全性計畫,以交付穩健且安全的應用程式。
DevSecOps 開發安全性營運會將安全性融入持續整合與持續交付 (CI/CD) Pipeline 中,讓開發團隊能以開發營運的速度,解決部分目前最緊迫的安全性挑戰。
以往通常是在開發生命週期的後期,才引進安全性考量與實踐方式。然而,隨著更為複雜的網路安全攻擊增加,以及開發團隊轉為對應用程式採用更短且更頻繁的疊代作業,現在 DevSecOps 開發安全性營運正逐漸成為首選的實踐方式,以確保應用程式可在這個現代化的開發商業網路中安全無虞。

《開發安全性營運簡易指南》(DevSecOps for Dummies)

實際運用 DevSecOps 開發安全性營運
DevSecOps 開發安全性營運具備哪些優勢?
安全性是現今每個組織的首要考量。所幸,DevSecOps 開發安全性營運著重於在每個階段中整合安全性;事實也證明,這不但是更安全的開發方法,同時也能迎合現今快速的發行週期速度。
DevSecOps 開發安全性營運方法可帶來數項特有優勢:
- 增強應用程式安全性
DevSecOps 開發安全性營運會在開發生命週期的早期階段,內嵌主動式方法來減輕網路安全威脅。這表示,開發團隊需仰賴自動化安全性工具,以便在作業期間測試程式碼,並在無需減緩開發週期的情況下,執行安全性稽核。
開發營運團隊會在開發流程的不同階段,審視、稽核、測試、掃描與偵錯程式碼,以確保應用程式通過關鍵的安全性檢查點。在暴露安全性弱點時,應用程式安全性與開發團隊會協同合作,共同在程式碼層級開發解決方案,以解決問題。
- 跨團隊擁有權
DevSecOps 開發安全性營運可在開發流程的早期階段,讓開發團隊與應用程式安全性團隊齊聚合作,進而建立協同作業的跨團隊做法。相較於讓各自為政的零散作業阻礙創新,甚至導致業務單位之間彼此分離,DevSecOps 開發安全性營運可讓團隊及早達成共識,進而實現跨團隊認同,並提高團隊的協同作業效率。
- 簡化應用程式交付
若能提早並頻繁地在開發生命週期中內嵌安全性、盡可能地將多項安全性流程自動化,以及簡化報告作業等,即可有助於強化安全性並賦予合規團隊更多能力,進而確保安全性措施可協助實現快速的開發週期。
例如,若開發團隊已完成應用程式的所有初始開發階段,卻在要將應用程式投入生產前才發現多項安全性弱點,就可能會導致交付作業嚴重延遲。
- 限制安全性弱點
運用自動化作業來識別、管理和修補常見弱點與暴露 (CVE)。及早且頻繁地使用預先建置的掃描解決方案,以針對建置 Pipeline 中任何預先建置的容器映像進行掃描,藉此確認是否有常見弱點與暴露。所引進的安全性措施不只要能降低風險,還必須為團隊提供洞悉,讓團隊可在發現弱點時,迅速進行修復。
DevSecOps 開發安全性營運的最大優勢之一,就是能建立精簡的敏捷開發流程;若能正確執行這項方法,就能大幅限制安全性弱點。許多網路安全性測試流程、工作和服務,都可十分輕鬆地與應用程式開發或營運團隊的自動化服務整合。
藉由在開發流程中著重於以安全性為優先的方法,組織就能排除確實會對產品發行時程造成影響的未知變數。
DevSecOps 開發安全性營運為什麼至關重要?
在現今的商業環境中,DevSecOps 開發安全性營運對於減少網路攻擊日益頻發的情況而言極為重要。透過及早並頻繁地實作安全性計畫,多種產業的應用程式即可實現下列優勢。
- 政府單位:管理高度敏感政府單位資訊的應用程式,一直是惡意網路攻擊的目標。透過以安全性為優先的開發方法來強化這類應用程式,就能大幅降低惡意實體找到並利用弱點的機率。
- 醫療照護業:在醫療照護領域中,DevSecOps 開發安全性營運正逐漸成為應用程式設計的首選標準。由於組織必須遵守 HIPAA,現在也可益發清楚地看出以安全性為優先的方法,能大幅降低病患身分識別資訊遭暴露或利用的可能性。
- 金融業:針對金融業的開發實踐方式,DevSecOps 開發安全性營運也可提供助力。今日,金融業已成為網路攻擊的主要目標,因此開發公司率先採用 DevSecOps 開發安全性營運模式,以限制敏感資料可能遭網路罪犯存取的可能性。
DevSecOps 開發安全性營運如何運作?
VMware 的 DevSecOps 開發安全性營運方法,旨在為開發團隊提供完整的安全性堆疊。為了達成此目標,必須在開發、發行管理 (也稱為營運) 與組織的資安團隊之間建立持續的協同作業關係,並在 CI/CD Pipeline 的每個階段中,著重於採用這種協同作業方式。
CI/DI Pipeline 可細分為六個階段,分別是編碼、建置、儲存、準備、部署和執行。
在此會解釋工作流程的每個階段,以說明在流程的早期階段內嵌安全性的優勢。
- 程式碼
就符合 DevSecOps 開發安全性營運的開發方法而言,第一步是在安全且受信任的區段中編寫程式碼。在此階段,VMware Tanzu® 提供的工具可針對這類原生安全的建構元件執行定期更新,讓資料和應用程式從一開始就能獲得更妥善的保護。 - 建置
為了取得程式碼並提供包含核心作業系統、應用程式相依性和其他執行期間服務的全方位容器映像,需要具備安全的流程。VMware Tanzu Build Service™ 能安全地管理此作業,並提供執行期間相依性掃描功能以強化安全性,讓 DevSecOps 開發安全性營運團隊能靈活且安全地進行開發。 - 儲存
在現今不斷進化的網路安全環境中,任何現成的技術堆疊都必須視為風險。就此而言,應持續檢查每個現成的應用程式或後端服務。幸好,有了 VMware 技術,開發人員就能使用 VMware Tanzu 安全提取固化的相依性,並利用 VMware Carbon Black Cloud Container™ 掃描容器映像,以確認有無弱點。 - 準備
在部署前,組織需要確保其應用程式符合安全性原則。為了達到此目標,VMware Tanzu 和 Carbon Black Cloud Container 可以在進入開發週期的後續階段之前,先根據組織的安全性原則驗證設定。這些設定會定義工作負載應如何執行,不僅能針對潛在弱點提供重要的洞悉,還能設定 CI/CD Pipeline 的後續階段,以利成功部署。 - 部署
在前幾個步驟中進行的掃描作業,可讓組織全面瞭解應用程式的安全性強度。而在此階段,則會清楚呈現開發流程中已識別的弱點或設定錯誤,讓組織能修正問題並定義更嚴格的安全性標準,進而強化安全態勢。 - 執行
在執行部署時,安全性營運團隊可運用主動式部署分析、監控與自動化功能,以確保在持續合規之際,也能減少部署後可能浮現的弱點風險。
DevSecOps 開發安全性營運與開發營運
若顧名思義,很容易以為 DevSecOps 開發安全性營運只是開發營運加上安全性,但事實並非如此。
「開發營運」是開發與營運的簡稱,僅著重於這兩個完整團隊在開發流程中的協同作業。就此而言,前述兩個團隊會共同開發流程、KPI 和里程碑,以合作邁向目標。這麼一來,營運團隊就能更密切地分析交付階段,同時評估開發團隊的持續更新與意見。
DevSecOps 開發安全性營運則是開發營運的反覆作業版本,因為 DevSecOps 開發安全性營運採用了開發營運模式,並將安全性額外層疊在持續開發與營運流程上。DevSecOps 開發安全性營運不會將安全性視為事後補救,而是會提早納入應用程式安全性團隊,以從安全性與減輕弱點的角度來強化開發流程。
相關解決方案與產品
Tanzu Application Platform
可在任何 Kubernetes 和雲端上執行的應用程式感知平台
Tanzu for Kubernetes Operations
多雲容器基礎架構
CloudHealth Secure State
主動管理雲端安全性洞悉及合規風險