什麼是開發資安營運？

開發資安營運 (開發、資安和營運的縮寫) 是一種開發實踐方式，會在軟體開發生命週期的每個階段中整合安全性計畫，以交付穩健且安全的應用程式。

開發資安營運將安全性加入持續整合和持續交付 (CI/CD) Pipeline 中，使開發團隊能夠以開發營運的速度，因應當今最緊迫的部分安全性挑戰。

過去，通常是在開發生命週期的後期，才引入安全性考量和實踐方式。然而，隨著更複雜的網路安全攻擊興起，以及開發團隊轉為採用更短、更頻繁的方式進行應用程式迭代，如今開發資安營運在這個現代化的開發商業網路中，逐漸成為確保應用程式安全無虞的首選實踐方式。

安全性是當今每個企業的首要優先事項。幸運的是，開發資安營運強調在每個階段中融入安全性的做法，已證明為更加安全的開發方法，同時還可滿足現今快速發行週期的高速要求。

開發資安營運方法可帶來特有的優勢：

• 強化應用程式安全性
  開發資安營運嵌入了主動式方法，可在開發生命週期的早期階段，減輕網路安全威脅。這意味著，開發團隊可仰賴自動化安全性工具來快速測試程式碼，無需減緩開發週期速度，即可執行安全性稽核。
  
  開發營運團隊會在開發流程的各個階段，針對程式碼進行檢視、稽核、測試、掃描和偵錯作業，以確保應用程式通過關鍵的安全性檢查點。在安全性弱點暴露時，應用程式安全性和開發團隊會協同作業，從程式碼層級研擬解決方案，進而解決問題。
  
  
• 跨團隊共同負責
  在開發流程早期，開發資安營運會集結開發團隊和應用程式安全性團隊，建立跨團隊的協同作業方法。各自孤立、分散的作業會扼殺創新，甚至導致業務單位之間出現分歧，而開發資安營運則讓各團隊能提早達成共識，從而實現跨團隊認同和更高效率的團隊協同作業。
  
  
• 簡化應用程式交付
  提早且頻繁地將安全性嵌入至開發生命週期中、盡可能地將多個安全性流程自動化並簡化報告等，這些行動都可強化安全性並提升合規團隊的能力，確保安全性實踐方式能協助加快開發週期。
  
  例如，假設開發團隊完成了某個應用程式的所有初始開發階段，卻在將該應用程式投入生產之前，才發現存在許多安全性弱點。如此一來，就可能導致交付嚴重延後。
  
  
• 縮減安全性弱點
  運用自動化技術來識別、管理和修補常見弱點與暴露 (CVE)。提早且頻繁地使用預先建置的掃描解決方案，以掃描在建置 Pipeline 中的預先建置容器映像有無 CVE。引入可降低風險並為團隊提供洞悉的安全性措施，就能讓團隊在發現弱點時快速修復。
  
  開發資安營運的最大優勢之一，是建立了簡化的敏捷開發流程；這種方法如果使用得當，即可大大縮減安全性弱點。許多網路安全測試流程、工作和服務，都可以十分輕鬆地與應用程式開發或營運團隊中的自動化服務整合。
  
  若能在開發流程中著重採用安全性優先的方法，企業即可排除無疑會影響產品發行時間表的未知變數。

在當今的商業環境中，對於減少日益頻繁的網路攻擊而言，開發資安營運格外重要。透過提早且頻繁地實作安全計畫，許多產業中的應用程式就可實現下列優勢。

• 政府單位：用於管理高度敏感政府資訊的應用程式，向來都是惡意網路攻擊的目標。透過採用安全性優先的開發方法來強化這些應用程式，就能大幅降低惡意實體發現和利用弱點的機率。
• 醫療照護業：在醫療照護領域的應用程式設計中，開發資安營運正逐漸成為首選標準。由於企業需要遵守 HIPAA，因此我們也可愈發清楚地看出，採用安全性優先的方法，就能大幅降低病患個人身分識別資訊遭到暴露或利用的可能性。
• 金融業：開發資安營運也有助於在金融業中推行開發實踐方式。現今，金融業是網路攻擊的主要目標，因此開發公司皆優先採用開發資安營運模式，以縮減網路罪犯存取敏感資料的可能性。

VMware 的開發資安營運方法，旨在為開發團隊提供完整的安全性堆疊。這可透過在開發、發行管理 (也稱為營運) 和企業的資安團隊之間，建立持續的協同作業關係，並在 CI/CD Pipeline 的每個階段中，著重推行這項合作來實現。

CI/CD Pipeline 可分為六個階段，分別為編寫程式碼、建置、儲存、準備、部署和執行。

此處會說明工作流程的每個階段，以闡述在流程早期嵌入安全性的優勢。

• 編寫程式碼
  對於符合開發資安營運的開發方法而言，第一步就是在安全且受到信任的區段中編寫程式碼。在此階段，VMware Tanzu® 提供的工具可對這些本質上即安全無虞的建構區塊執行定期更新，讓您從一開始就能更妥善地保護資料和應用程式。
  
• 建置
  為了提取程式碼，以及交付內含核心作業系統、應用程式相依性和其他執行期間服務的全方位容器映像，需要具備安全的流程。VMware Tanzu Build Service™ 不但可安全地管理前述流程，更可提供執行期間相依性掃描功能，以強化安全性，從而使開發資安營運團隊能安全敏捷地進行開發。
• 儲存
  在現今不斷進化的網路安全環境中，任何現成的技術堆疊都應視為風險。有鑑於此，我們應持續檢查每個現成的應用程式或後端服務。幸運的是，利用 VMware 技術，開發人員即可使用 VMware Tanzu 安全地提取明確的相依性關係，並使用 VMware Carbon Black Cloud Container™ 掃描容器映像中的弱點。
• 準備
  在部署之前，企業需要確保其應用程式符合安全性原則。為了達成此目標，VMware Tanzu 和 Carbon Black Cloud Container 可在進入開發週期的後續階段之前，先根據企業的安全性原則驗證設定。這些設定定義了工作負載應有的執行方式，不僅可對潛在弱點提供重要洞悉，也可設定 CI/CD Pipeline 的後續階段，進而確保部署成功。
• 部署
  在先前步驟中提供的掃描結果，讓企業能全面瞭解應用程式的安全性強度。在此階段中，會清晰呈現開發流程中已識別的弱點或設定錯誤，讓企業能修復問題並定義更強大的安全性標準，進而推動實現更強健的安全態勢。
• 執行
  在執行部署後，安全營運團隊就可運用主動式部署分析、監控和自動化功能來確保持續合規，同時降低部署後出現弱點的風險。

從名稱上看，很容易認為開發資安營運只是開發營運加上安全性，但事實上並非如此。

開發營運是開發和營運的縮寫，完全聚焦於這兩個不可或缺的團隊在開發流程中的協同作業。在開發營運中，這兩個團隊會攜手合作，共同針對目標擬定流程、KPI 和里程碑。如此一來，營運團隊就能更仔細地分析交付階段，同時評估開發團隊持續提供的更新和回饋。

開發資安營運則是開發營運的迭代版本，因為開發資安營運採用了開發營運模式，並以額外層級的形式，將安全性附加至持續開發和營運流程上。開發資安營運並非將安全性視為事後補救措施，而是從安全性和減少弱點的角度，提早引進應用程式安全性團隊來強化開發流程。