引言：

自動(dòng)化已經(jīng)以各種形式出現(xiàn)了幾十年，直到現(xiàn)在我們才開始看到它的全部潛力。

自動(dòng)化軟件開發(fā)生命周期 (SDLC) 可以顯著提高質(zhì)量保證、開發(fā)人員的生產(chǎn)力并減少花在特定任務(wù)上的時(shí)間。公司已開始在其整個(gè) SDLC 的安全實(shí)踐上投入更多資金，以保護(hù)其數(shù)據(jù)并防止惡意軟件攻擊。

隨著行業(yè)的變化，安全實(shí)踐也在不斷發(fā)展。已經(jīng)從傳統(tǒng)的安全實(shí)踐（安全被認(rèn)為超出了開發(fā)團(tuán)隊(duì)的范圍）轉(zhuǎn)變?yōu)閷踩鳛?SDLC 中的優(yōu)先事項(xiàng)。采用左移心態(tài)的趨勢正在上升，這意味著在 SDLC 開發(fā)階段之前從安全開始。這有助于公司采用更靈活的方法來處理網(wǎng)絡(luò)安全。

什么是零信任安全？

零信任安全是一個(gè) IT 安全框架，它對待每個(gè)人和一切都是敵對的。因此，零信任安全模型授予對所有 IT 資源的最低特權(quán)訪問權(quán)限，這意味著除了明確授予他們訪問權(quán)限之外，任何人都不應(yīng)該被信任。相反，按照嚴(yán)格的協(xié)議，只有經(jīng)過驗(yàn)證和授權(quán)的網(wǎng)絡(luò)、應(yīng)用程序、用戶、IP 地址和設(shè)備才能進(jìn)入網(wǎng)絡(luò)。

這個(gè)零信任框架的實(shí)現(xiàn)涉及先進(jìn)和安全的技術(shù)來驗(yàn)證用戶的身份并實(shí)現(xiàn)系統(tǒng)的安全性。用于實(shí)現(xiàn)此目的的一些著名技術(shù)是基于角色的訪問控制（RBAC）、多因素身份驗(yàn)證（MFA）、身份和訪問管理 (IAM)、身份保護(hù)和端點(diǎn)安全技術(shù)。此外，在授予任何訪問權(quán)限之前強(qiáng)制執(zhí)行嚴(yán)格和動(dòng)態(tài)的用戶身份驗(yàn)證方法。

此外，還會(huì)進(jìn)行持續(xù)的潛在威脅掃描和檢測。

為什么需要保障?SDLC 中的安全性？

軟件開發(fā)生命周期（SDLC）是軟件行業(yè)設(shè)計(jì)，開發(fā)和測試高質(zhì)量軟件的過程。SDLC旨在生產(chǎn)符合或超過客戶期望的高質(zhì)量軟件，在時(shí)間內(nèi)完成和成本估算。

每家公司都希望更快地向客戶發(fā)布新功能，而安全性需要跟上創(chuàng)新的步伐。此外，組織正在將他們的工作負(fù)載轉(zhuǎn)移到云中，利用云計(jì)算服務(wù)，而云提供了動(dòng)態(tài)擴(kuò)展。必須擴(kuò)展安全性以匹配云的規(guī)模。今天的公司不允許服務(wù)中斷一秒鐘，因此安全性在自動(dòng)事件響應(yīng)補(bǔ)救中變得至關(guān)重要。

修復(fù)生產(chǎn)中的錯(cuò)誤的成本會(huì)讓您的客戶感到不安，并給開發(fā)團(tuán)隊(duì)帶來大量開銷，因此安全專家強(qiáng)烈要求在 SDLC 的每個(gè)階段都設(shè)置安全檢查點(diǎn)。

?為了成功和安全地利用自動(dòng)化，需要在整個(gè) SDLC 中更加強(qiáng)調(diào)安全性。這就是DevSecOps作為云原生技術(shù)的一種集成思維方式，將開發(fā)、運(yùn)營和安全統(tǒng)一為 SDLC 中的一個(gè)流程。它提倡在 SDLC 的早期階段采用左移方法來促進(jìn)安全性（安全左移）。

實(shí)施 DevSecOps 的挑戰(zhàn)

在 DevOps 工作流程中實(shí)施安全性存在許多挑戰(zhàn)。以下是一些主要的：

DevOps 是一種快節(jié)奏的游戲：由于 DevOps 主要關(guān)注快速開發(fā)、部署和發(fā)布，因此要跟上這種快節(jié)奏的競賽節(jié)奏變得具有挑戰(zhàn)性。

孤立的團(tuán)隊(duì)方法：安全團(tuán)隊(duì)通常使用不同的工具集和流程，而且他們通常缺乏完整的 SDLC 可見性。這種將 dev 和 sec 視為兩個(gè)獨(dú)立團(tuán)隊(duì)的考慮變得具有挑戰(zhàn)性。

可擴(kuò)展性和集成：隨著容器化和創(chuàng)建虛擬 VM 的發(fā)明，DevOps 為攻擊者提供了許多新的攻擊面。Jenkins、Docker 等各種工具和技術(shù)在擴(kuò)展時(shí)增加了不同的安全挑戰(zhàn)，并且可以創(chuàng)建復(fù)雜的層（字面意思）。

技能組合：DevOps 領(lǐng)域缺乏安全原則、概念證明和技能組合，這使得招聘真正的安全專業(yè)人員具有挑戰(zhàn)性。此外，企業(yè)往往忽視安全團(tuán)隊(duì)，不讓他們參與重大決策，無論是選擇新平臺(tái)或工具、更新策略等，因此將安全放在首位的整體愿景很容易被淡化。

錯(cuò)誤的工具選擇：選擇不合適的工具并做出糟糕的決定最終成為責(zé)任。這可以通過讓安全團(tuán)隊(duì)成為設(shè)計(jì)考慮、工具選擇、政策制定、合規(guī)性、治理等的一部分來實(shí)現(xiàn)。

SDLC 中的安全最佳實(shí)踐

以下是在 DevOps 管道中實(shí)施零信任安全性的一些提示：

將 DevSecOps 實(shí)施為 SDLC 的基礎(chǔ)，并使左移方法成為必須。

每當(dāng)與第三方工具和供應(yīng)商合作時(shí)，都必須強(qiáng)制執(zhí)行軟件物料清單 (SBOM)。

定期進(jìn)行安全培訓(xùn)，向您的開發(fā)人員和運(yùn)營團(tuán)隊(duì)灌輸安全意識和所有權(quán)。

在 SDLC 的每個(gè)階段都有安全檢查點(diǎn)，并驗(yàn)證只有好的代碼而不是機(jī)密數(shù)據(jù)或機(jī)密會(huì)暴露給外界。

將靜態(tài)代碼分析集成到構(gòu)建過程中。

制定威脅建模計(jì)劃，以識別和減輕開發(fā)過程中涉及的潛在安全風(fēng)險(xiǎn)。

將持續(xù)安全作為一項(xiàng)先見之明。利用安全性和合規(guī)性最佳實(shí)踐并采用持續(xù)改進(jìn)策略。

使用與您的 SDLC 良好集成的安全工具，并在很少或無需人工干預(yù)的情況下輕松實(shí)現(xiàn)安全和治理自動(dòng)化。

確保您的工具套件包含強(qiáng)大的安全漏洞檢測器和通用軟件組合分析解決方案。

制定強(qiáng)有力的安全威脅響應(yīng)管理策略，以應(yīng)對發(fā)生的任何安全威脅。

擁有對訪問權(quán)限、角色和職責(zé)有明確界限的訪問控制策略，以消除團(tuán)隊(duì)之間的沖突。

著名的安全工具

JFrog Xray：?JFrog的 Xray 是一種已知的安全漏洞工具，可掃描您的所有開源軟件工件及其依賴項(xiàng)以查找漏洞和許可證合規(guī)性問題。它掃描存儲(chǔ)庫、構(gòu)建包和容器映像。它可以檢測受損的許可證和軟件組件中的任何違規(guī)行為，確保您的端到端軟件生命周期盡可能順利。

SonarQube：SonarQube是一個(gè)用于持續(xù)代碼檢查的開源工具。它收集和分析源代碼，并提供有關(guān)項(xiàng)目代碼質(zhì)量的報(bào)告。通過經(jīng)常使用，SonarQube 可確保您組織內(nèi)的通用編碼標(biāo)準(zhǔn)，同時(shí)確保應(yīng)用程序的可持續(xù)性。

HummerRisk ：HummerRisk 是云原生安全平臺(tái)，包括混合云安全治理和容器云安全檢測，提供一站式的安全檢測功能，幫助你快速發(fā)現(xiàn)安全隱患。

Vdoo：?Vdoo 是一種強(qiáng)烈推薦的安全工具，它使安全團(tuán)隊(duì)能夠揭示和減少應(yīng)用程序、容器、嵌入式、物聯(lián)網(wǎng)和邊緣設(shè)備中涉及的軟件風(fēng)險(xiǎn)。使用 Vdoo，負(fù)責(zé)安全的團(tuán)隊(duì)可以在幾分鐘內(nèi)進(jìn)行自動(dòng)化和配置安全審計(jì)。注：?JFrog 最近收購了 Vdoo以增強(qiáng)其在云原生領(lǐng)域的安全游戲。

Aqua 安全：?Aqua安全?平臺(tái)在整個(gè)應(yīng)用程序生命周期中實(shí)施安全自動(dòng)化，以保護(hù)構(gòu)建、云基礎(chǔ)設(shè)施和工作負(fù)載，無論它們部署在何處。

WhiteSource：WhiteSource是許可證合規(guī)性管理平臺(tái)，可確保團(tuán)隊(duì)能夠有效地管理和信任他們的開源資產(chǎn)。它檢測并修復(fù)整個(gè) SDLC 的安全性和合規(guī)性問題。它會(huì)在問題發(fā)生時(shí)提醒并幫助開發(fā)人員查找和修復(fù)問題。

Logz.io：Logz.io旨在通過日志管理和日志分析服務(wù)為系統(tǒng)提供更可靠的可觀察性。該工具為安全和運(yùn)營團(tuán)隊(duì)提供了一個(gè)集中式平臺(tái)，專門用于云原生環(huán)境。

保護(hù)您的 SDLC

安全性在 SDLC 的每一點(diǎn)都變得至關(guān)重要，以降低人為錯(cuò)誤的風(fēng)險(xiǎn)。大多數(shù)公司認(rèn)為，“左移”，讓安全成為每個(gè)人的工作，將提高整個(gè)SDLC的安全部分。但就是這樣嗎？保護(hù) SDLC 不僅僅是讓安全成為每個(gè)人的工作。

以下是有關(guān)如何開始保護(hù)您的 SDLC 的一些要點(diǎn)：

創(chuàng)建可靠的安全編碼最佳實(shí)踐、指南和框架，以供開發(fā)人員在 SDLC 中整合。

讓每個(gè)加入貴公司的開發(fā)人員都必須接受安全培訓(xùn)。

使用同類最佳工具進(jìn)行安全漏洞、靜態(tài)代碼分析、端到端供應(yīng)鏈保護(hù)。

使代碼審查、掃描、滲透測試和架構(gòu)分析成為開發(fā)工作的一個(gè)組成部分。

通過 JFrog Xray、Vdoo、SonarQube 等工具將安全性集成到您的 CI/CD 管道中。

確保您在 SDLC 中包含的每個(gè)工具都有一個(gè)安全檢查表。例如，如果您使用 Docker 和 Kubernetes 等平臺(tái)，請確保僅使用官方 Docker 鏡像，并為您在 Kubernetes 上的工作負(fù)載提供高級別的集群安全性。

如果您在 SDLC 中使用開源工具，請確保使用軟件組合分析 (SCA) 工具來分析開源代碼、庫和依賴項(xiàng)等。

擁有一個(gè)自定義儀表板或工具，可幫助您在單一窗格中查看 SDLC 中發(fā)生的情況。或許，結(jié)合Dynatrace、Nagios 或 Datadog 等監(jiān)控工具來獲取此信息。

建議使用在單一窗口中具有整體安全方法的工具——一個(gè)連接所有點(diǎn)并建立零信任安全系統(tǒng)的端到端平臺(tái)，攻擊者難以滲透以獲取訪問權(quán)限.?對于 SDLC，您的二進(jìn)制文件和所有依賴項(xiàng)構(gòu)成了重要的輸入數(shù)據(jù)，用于進(jìn)一步的步驟。

首先，您需要一個(gè)流程和一個(gè)工具集來保護(hù)二進(jìn)制文件到邊緣的安全，整合安全數(shù)據(jù)以進(jìn)行有效的決策，以及一個(gè)具有最高完整性的端到端交付系統(tǒng)。

結(jié)論

無論您處于云原生之旅的哪個(gè)行業(yè)和階段，零信任原則已成為必須并被中小型企業(yè)采用，以確保其系統(tǒng)始終高度安全和可用。通過植入安全原則、最佳實(shí)踐和工具來確保堅(jiān)實(shí)的安全基礎(chǔ)，可以減輕安全威脅。

關(guān)于HummerRisk

HummerRisk 是開源的云原生安全平臺(tái)，以非侵入的方式解決云原生的安全和治理問題。核心能力包括混合云的安全治理和K8S容器云安全檢測。

HummerRisk 覆蓋了Gartner定義的CSPM和CNAPP兩部分，可以很好的應(yīng)對云原生環(huán)境中的安全需要。

Github 地址：https://github.com/HummerRisk/HummerRisk

Gitee 地址：https://gitee.com/hummercloud/HummerRisk?

總結(jié)

以上是生活随笔為你收集整理的云原生安全系列 1：零信任安全和软件开发生命周期的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。