CSA发布| 务实的DevSecOps实施解读(上) 之 DevSecOps黄金流水线与关键角色
[ 北京老李:首批CSA CCSK、CCPTP、DevSecOps、 CBP、ACSE讲师、首批CDSP讲师、EXIN DevOps Master(大师级)讲师(首批全国十名)、国内首批EXIN Product Owner讲师(首批全国十名)、EXIN授权EXIN Agile Scrum Master讲师、首批ITIL Expert讲师、PMI-ACP讲师中国“黄埔一期”TTT、Lean IT 认证讲师、PMP、Prince2专家级、EXIN云安全管理、EXIN 云服务管理、国内首批APMG 信息安全官(CISO)TTT、ISO27001 LA、ISO20000 LA等多项认证。先后在北京、上海、广州等地主导软件开发、系统集成、咨询服务等工作,主要研究方向云安全管理、敏捷与DevSecOps落地实施.
云安全联盟大中华区发布DevSecOps的六大支柱:务实的实现(以下简称“报告”)该报告中的 DevSecOps 实施指南被组织成一系列实际职责和活动,旨在帮助数字安全领导者在开始进行DevSecOps时做出务实决策。
01 DevSecOps发展历史·
DevSecOps是“开发(Dev)、安全(Sec)和运营(Ops)”的缩写,其核心取自于DevOps这一火热的概念【《DevSecOps定义编年史:通过DevSecOps定义看DevSecOps发展》:https://www.douban.com/note/853429102/?_dtcc=1&_i=3562116x9VVG95】。
DevOps代表了云原生文化取向、自动化方法和新兴技术平台的融合。DevSecOps的核心理念是将安全性嵌入到整个软件开发生命周期中,使安全成为IT团队(包括开发、运维和安全团队)的共同责任。
随着时间的推移,DevSecOps的概念也逐渐发展和完善。它强调在软件开发的早期阶段就引入安全性,确保安全防护贯穿整个应用开发过程。通过固化流程、加强不同人员之间的协作,以及利用工具和技术手段,将可以自动化、重复性的安全工作融入到研发体系内,使安全属性嵌入到整条流水线。
02 DevSecOps黄金流水线·
黄金流水线(Golden Pipeline)这一概念基于安全工作前移、安全工作和现有工作的无缝对接这两个方面提出的。黄金流水线(Golden Pipeline)特指一套通过稳定的可落地的安全的方式,自动化地进行应用CI/CD的流水线体系。
《持续交付:发布可靠软件的系统方法》由Jez Humble和David Farley在2011年编写在持续交付的框架中,流水线是一个至关重要的概念。它代表了从代码编写、测试、构建到部署的整个过程,确保软件从开发到生产环境的顺畅流转。通过流水线,可以自动化地执行一系列任务,包括代码集成、构建、测试、部署等,从而提高软件交付的效率和质量。
其中工具链自动化的支撑程度是缩短调度成本、实现快速迭代的关键,为DevSecOps提供了一种便于理解和落地的实现方式,从Golden Pipeline开发流程体系来看,DevSecOps开发安全主要包括Golden-Gate安全门(门禁)、AST应用安全测试、SCA第三方组件成本分析、RASP运行时应用自保护等多个关键安全活动。
DevOps元素表为实施DevOps提供了详尽的框架和步骤,DevOps不仅仅是一系列技术和工具的组合,更是一种文化和协作方式的转变。DevOps元素表强调了这一点,提醒团队在实施DevOps时要注重打破传统角色壁垒,促进跨部门、跨角色的紧密协作。通过加强沟通和合作,团队可以更有效地应对挑战,实现快速、可靠的软件交付。【《DevOps元素表》https://digital.ai/learn/devops-periodic-table/】
根据报告建议流水线不仅仅具有黄金流水线(Golden Pipeline)的功能,需要组合安全的软件生命周期阶段,融入安全人员、安全文化、安全流程和安全技术(CPPT)的组合推动DevSecOps更好地实施。在将安全性纳入到软件开发生命周期 (SDLC) 中时,组织有多种工具和解决方案可供选择。然而,这些通常存在一些问题:要么难以部署、实施和扩展,要么无法提供有助于减轻实际安全风险的可行见解。由于每个 SDLC 在结构、流程、工具和整体成熟度方面都不同,因此没有通用的二元蓝图来实施 DevSecOps。【二元蓝图: 《DevSecOps的六大支柱:务实的实现》】
详见《DevSecOps的六大支柱:务实的实现》
03 DevSecOps实施关键角色·
《凤凰项目》这本书通过讲述一个虚构的IT运维团队如何挽救一家面临破产危机的跨国制造企业的故事,生动地展示了如何在现实世界中实施敏捷开发与运维。其中描述的安全专家负责评估安全风险,并提供相应的安全建议和解决方案。
在凤凰项目模式中,【凤凰项目模式:《凤凰项目》是2015年人民邮电出版社出版的图书,作者是基恩·金,书中讲述了一位IT经理临危受命,在DevOps黄金三步工作法理念的支撑下,最终挽救了一家具有悠久历史的汽车配件制造商的故事。小说揭示了管理现代IT组织与管理传统工厂的共通之处,通过DevOps帮助企业实现了业务目标,并帮助企业实现成功的故事。】安全专家需要与开发、运维团队紧密协作,确保在整个软件开发和部署过程中,安全人员的充分参与才能使流水线更加的安全可靠。
人员、流程和工具是三个缺一不可的关键要素。人员方面,首先领导层一定要去重视,领导的作用是很大的,只有领导重视了,才会有相应的流程、规范,才会去招聘相应的人员、做相关的培训、采购工具。做安全一定是自上而下的。其实我们的程序员的安全储备是不够的,对于安全开发、安全编码的培训是非常重要的。开发不是说功能实现了就可以了,一定要高质量。
除了安全性,在其他方面也有代码质量的体现。根据报告建议组织具有如下角色推动DevSecOps更好地实施。具体角色如下表所示:
帮助产品团队和开发人员采用与组织一致的安全计划,通常是已经从事软件或基础设施的开发人员或管理人员。持续评审其产品团队内针对威胁、漏洞和风险的安全状况。它可以作为混合角色共享策略来沟通关键的计划和成功案例,并评估安全工具和方法在整个组织、各个团队和业务领域中的采用影响。将安全计划与业务价值和战略目标保持一致。将实现安全和业务目标的高级数字战略与低级开发人员目标连接起来。协助管理和修复对应用程序造成的安全风险、漏洞和威胁。开发解决方案架构和相关系统组件以满足用户需求。设计系统和系统间的接口,并确定目标环境的影响,包括但不限于安全状况。与业务部门合作,讨论如何设计应用程序和使用基础设施服务(包括云),以安全的方式达成于业务目标。制定方法、框架和模式,并帮助开发人员遵循安全开发最佳实践。识别未来安全方法以演进现有的实践,应对行业、监管和技术变革,并确定DevSecOps的战略和运营适应性(例如,控制措施的左移或右移)。与开发人员一起和高级业务利益相关者合作,为部署流水线和仓库的安全方式、方法和使用自动化工具提供建议和评估。识别应用程序代码中的潜在缺陷,并通过修复安全问题来缓解漏洞。应用安全编码和测试标准,并记录安全编码指南。将安全测试工具(如静态和动态应用程序测试工具)集成进源代码仓库和持续集成和交付的流水线中。对应用程序代码应用安全控制(如加密、标识和身份验证),以减少攻击面并最大程度地降低被利用风险。与架构师一起识别、设计和编写代码实现软件特性。他们将帮助测试、维护和更新产品,以确保所有安全、性能和功能问题得到解决。安全角色和成果使开发人员能够根据软件工程方法论、工具、实践以及安全代码指南安全地编写代码。配置和运营云基础设施,包括服务器、存储和网络。使用持续集成和部署方法自动配置云基础设施和应用程序有助于确保安全活动应用于集成的软件包和集成的应用程序特性。引入影响整个应用程序的整体应用程序安全控制和过程-利用工具在运行时进行完整性校验并扫描应用程序。负责编写和执行负载和压力测试基础设施、平台和应用程序的测试计划。解决软件测试阶段的安全问题,包括风险接受、安全验收标准和安全测试方法。定期执行手动渗透测试,以暴露应用程序和基础设施的弱点,并确认安全强制执行功能的正确实施。根据测试输出提出修复建议。提供有关云、基础设施和平台服务的安全状况的建议。在基础设施和平台上应用系统加固实践,并确保强大的安全机制。执行漏洞扫描和修复,以减少基础设施上的攻击面。
0安全冠军对于DevSecOps成功的影响·
其中安全冠军对于很多企业非常重要。安全冠军在组织中负责维护和确保安全。他们的职责包括监测和预防潜在的安全威胁,制定和执行安全政策和措施,调查和应对安全事件,提供安全培训和意识教育,以及与其他部门合作,确保组织的安全性。
安全人员还负责评估和改进组织的安全风险,提供安全建议和解决方案,并参与应急响应和危机管理。他们的目标是保护组织的人员、资产和信息免受任何形式的威胁和损害。安全冠军可以通过宣传、管理和实施安全态势,让您的开发团队作为安全团队的扩展成员来帮助弥合这一差距。他们的职责包括:传播安全最佳实践,提高和保持对开发组织的问题/威胁的持续安全意识,并回答安全相关问题。对安全问题进行扫描,并在将问题上报以供安全团队审查、帮助进行 QA 和测试之间充当中间人。这也将使他们能够参与风险和威胁评估,以及架构和工具审查,以识别早期修复安全问题的机会。在项目内在使用开发人员的语言,您的安全冠军可以通过以他们理解的方式传达安全问题来获得他们同事的支持,从而支持DevSecOps模式。同时最大限度地减少了下游的安全测试瓶颈,因此您的安全团队可以专注于其他关键任务。知识是关键,您的安全冠军将受益于持续的培训,以跟上最新的实践、方法和工具来分享这些知识。与其他安全人员和参与者建立联系和合作,参加每周会议以分享想法和技巧,同时协助制定安全决策。
05课程推荐
CSA 数字安全人才体系2.0
DevSecOps专家认证(Certified DevSecOps Professional) 课程的价值主要体现在提升安全性、促进团队协作、加速软件交付、培养全栈人才和提高企业价值等方面。对于希望在软件开发和运维领域获得更多竞争优势的企业和个人来说,是个不错的选择。
致谢
《DevSecOps的六大支柱:务实的实现(The Six Pillars of DevSecOps: Pragmatic Implementation)》由Lead Author编写,并由CSA大中华区专家组织翻译并审校。(以下排名不分先后):
中文翻译组组长:
李岩
中文翻译组组员:
何伊圣、陈宏伟、殷铭、贺志生、吴嘉雯、高亚楠、伏伟任、江澎、江泽鑫、余晓光、谢绍志、屈伟、江楠、王岩、王贵宗、王彪、苏泰泉、欧建军、林艺芳、张坤
(以上排名不分先后)
本文作者:
李岩(北京老李)
六:爬楼
https://www.douban.com/note/861386194/?_i=5443937dL9eBCj CSA 云渗透测试(CCPTP)课程:2024年第三期课程及学员感受
DevOps Master凤凰项目沙盘总结:“IT业务一体化”驱动业务价值https://www.douban.com/note/662925305/?_i=2086803-YXOQzt
DevOps凤凰项目沙盘:2023年业务敏捷演练https://www.douban.com/note/852352418/?_i=1567693jjLd5WR,2086801-YXOQzt
DevOps凤凰项目沙盘:在线沙盘与感悟(Phoenix Project online):2021年https://www.douban.com/note/819120725/?_i=7534370up8rKES,2086802-YXOQzt
DevSecOps定义编年史:通过DevSecOps定义看DevSecOps发展 https://www.douban.com/note/853429102/?_i=2086721-YXOQzt
咨询基本功系列第一讲:把读到的知识转化为能力三步法及完美学习的四步法 https://book.douban.com/review/8820627/
咨询基本功系列第二讲:显见是心与学会提问 https://book.douban.com/review/8709052/
咨询基本功系列第三讲:显见不动与信念 https://book.douban.com/review/8524974/
咨询基本功系列第四讲:显见不失与学会讲故事 https://book.douban.com/review/8909761/
咨询基本功系列第五讲:显见无杂与沟通的艺术 https://book.douban.com/review/8573156/
咨询基本功系列第六讲:见性惟真与书面沟通七步法 https://book.douban.com/review/8795275/
咨询基本功系列第七讲:见性无碍与故事思维 https://book.douban.com/review/8471462/
咨询基本功系列第八讲:显见不分与沟通圣经 https://book.douban.com/review/8550605/
咨询基本功系列第九讲:见性超情与深度工作 https://book.douban.com/review/8641784/
咨询基本功系列第十讲:见性离见与完美咨询 https://book.douban.com/review/12493989/
咨询的基本套路、IT咨询基本方法内训课程,欢迎大家收看,收听,收获到咨询的基本功:)
如何一次通过系列:
数字化系列课程:如何一次通过CSA CBP区块链课程 https://www.douban.com/note/821392967/
如何一次通过CSA CDSP数据安全管理专家认证 https://www.douban.com/note/812307427/
如何一次通过DevOps Foundation考试 https://www.douban.com/note/759867840/
如何一次通过ITIL4 Foundation考试https://www.douban.com/note/778661405/
如何一次通过DevOps Master考试 https://www.douban.com/note/660291760/
如何一次通过DOMV2考试-即EXIN DevOps Master V2版认证https://www.douban.com/note/852525465/?_i=3532954x9VVG95
如何一次通过PMI-ACP https://www.douban.com/note/720287998/
如何一次通过EXIN Scrum Foundation https://www.douban.com/note/769868855/
如何一次通过EXIN Scrum Master https://www.douban.com/note/722250431/
如何一次通过APMG ISO/IEC20000:2018版 LA https://www.douban.com/note/762608725/
如何一次通过CCSK4.0(网盘下载CCSK4.0,送DevSecOps宣言中文翻译版) https://www.douban.com/note/764185464/
如何一次通过EXIN CCC云服务管理专家认证 https://www.douban.com/note/762735674/
敏捷服务管理系列:如何正确理解ITIL4 https://www.douban.com/note/763416570/
敏捷管理课程:业务敏捷的核心是一种组织能力!!!送:业务敏捷报告2020版解析及下载https://www.douban.com/note/794006236/
敏捷服务管理系列:如何正确理解ITIL4 https://www.douban.com/note/763416570/
DevOps沙盘总结系列课程
DevOps凤凰项目沙盘:在线沙盘与感悟(Phoenix Project online):2021年 https://www.douban.com/note/819120725/?_i=7534370up8rKES
DevOps凤凰项目沙盘:2023年业务敏捷演练 https://www.douban.com/note/852352418/?_i=1567693jjLd5WR
DevOps Master凤凰项目沙盘总结:IT涅槃重生之路 https://www.douban.com/note/681066663/
DevOps Master凤凰项目沙盘总结:“IT业务一体化”驱动业务价值 https://www.douban.com/note/662925305/
DevOps Master凤凰项目沙盘总结:高维度系统化思考 https://www.douban.com/note/703020201/
DevOps Master凤凰项目沙盘总结:履霜坚冰至,转型应自强不息 https://www.douban.com/note/700603657/
DevOps Master凤凰项目沙盘总结:一场精益敏捷探索之行 https://www.douban.com/note/645016138/
https://www.douban.com/note/819120725/ DevOps凤凰项目沙盘:在线沙盘与感悟(Phoenix Project online):2021年
DevOps Master凤凰项目沙盘总结:通过DevOps实现IT组织转型 https://www.douban.com/note/693053178/
DevOps Master凤凰项目沙盘总结:DevOps黄金三步法 https://www.douban.com/note/694641377/
DevOps Master凤凰项目沙盘总结:DevOps起始质量之独孤九剑 https://www.douban.com/note/689504940/
DevOps Master凤凰项目沙盘总结:一场百玩不厌的质量感悟 https://www.douban.com/note/629890513/
DevOps Master凤凰项目沙盘总结:DevOps的独孤九剑 https://www.douban.com/note/630638887/
DevOps Master凤凰项目沙盘总结:同理心是DevOps成功关键 https://www.douban.com/note/685838159/
DevOps Master凤凰项目沙盘总结:做最有价值的事 https://www.douban.com/note/681074230/
2020年2月EXIN DevOps及敏捷前置要求与学习路径推荐 https://www.douban.com/note/752263618
DevOps Master课程:DevOps Master教练十二条原则 https://www.douban.com/note/718124778/
DevOps Master课程:DevOps Master教练的三个层次 https://www.douban.com/note/719145305/
DevOps Master课程:招聘DevOps工程师必问的12个问题(送DevOps实现的三个路径) 相关主题 https://www.douban.com/note/709308373/ DevOps Master :
敏捷项目管理ACP中国“黄埔一期” https://www.douban.com/note/728728754/
敏捷项目管理课程:建立持续改进的个人看板 https://www.douban.com/note/745245657/
DevOps Master系列:再论DevOps核心原则CALMS https://www.douban.com/note/731775271/
DevOps Master系列:如何把DevOps与CMMI整合 https://www.douban.com/note/759766513/
https://www.douban.com/note/713613037/ DevOps professional课程:只讲技术之CHEF(1)
https://www.douban.com/note/708968150/ DevOps Master课程总结:知否知否,应是DevOps肥ITIL瘦(送ITIL4前生今世)
https://www.douban.com/note/708218842/ DevOps Master课程总结:学习没有捷径(送DevOps安灯正确方法)
https://www.douban.com/note/694641377/ DevOps Master凤凰项目沙盘总结:DevOps黄金三步法
https://www.douban.com/note/700603657/ DevOps Master凤凰项目沙盘总结:履霜坚冰至,转型应自强不息
https://www.douban.com/note/693053178/ DevOps Master凤凰项目沙盘总结:通过DevOps实现IT组织转型
https://www.douban.com/note/689504940/ DevOps Master凤凰项目沙盘总结:DevOps起始质量之独孤九剑
https://www.douban.com/note/645016138/ DevOps凤凰沙盘:一场精益敏捷探索之行
https://www.douban.com/note/629890513/DevOps凤凰沙盘:一场百玩不厌的质量感悟
https://www.douban.com/note/630638887/DevOps课后总结之DevOps游戏系列-DevOps的独孤九剑
https://www.douban.com/note/637665261/DevOps Master课程:回忆我与DevOps之父Patrick的交流
https://www.douban.com/note/647732431/ DevOps:10本DevOps推荐书及47个DevOps兼容工具
https://www.douban.com/note/647732431/ DevOps:10本DevOps推荐书及47个DevOps兼容工具
https://book.douban.com/review/9110485/ DevOps:转型从正确地认知开始
https://www.douban.com/note/651734552/ DevOps:从I型人才到E型人才
https://www.douban.com/note/651734953/ DevOps:智能服务台是企业不能缺少的基石
https://book.douban.com/review/8928323/ DevOps布道师:终身学习是终身成长的源动力
https://book.douban.com/review/8820627/ 《把读到的知识转化为能力三步法及完美学习的四步法》
https://www.douban.com/note/643862694/ DevOps Master课程:脚踏实地学Pre-Master,一步一个脚印成为DevOps Master
https://book.douban.com/review/8805640/ DevOps布道师为深度工作写的序:深度工作是心身的一种修练方法
https://book.douban.com/review/8795275/ 咨询基本功:咨询顾问基本功之书面沟通及“补充大餐”
https://www.douban.com/note/643251358/ DevOps定义编年史:通过DevOps定义看DevOps发展
https://www.douban.com/note/637838681/ DevOps应用:光大银行DevOps1.0到DevOps2.0研会
https://www.douban.com/note/639093367/ DevOps应用:民生银行IT一体化管理与自动化发展(1)
https://www.douban.com/note/638965340/ DevOps应用:工商银行DevOps进行时
DevOps Master课程:事半功倍的系统化学习 https://www.douban.com/note/717180422/
https://www.douban.com/note/696842302/ DevOps应用:工商银行DevOps进行时(2018年)
https://www.douban.com/note/722820106/ DevOps Master课程:微软 DevOps的成功之路(送中行DevOps三架马车)
https://www.douban.com/note/641427886/ DevOps应用:DevSecOps云下安全与云等保(云博会内容提前曝光)
敏捷项目管理沙盘:一场随需而变的深度体验(1)https://www.douban.com/note/629584594/
站在IT治理Cobit2019角度看DevOps成熟度(COBIT可申请10PDU) https://www.douban.com/note/729309727/
https://www.douban.com/note/646007197/ 敏捷辩论
https://www.douban.com/note/655617439/ 敏捷服务管理:数字化转型核心
https://www.douban.com/note/696148785/ DevOps Master课程总结:IT运维的昨天、今天、明天(IT运维四大“坑”)
DevOps Master:如何一次通过DevOps Master考试 https://www.douban.com/note/660291760/
DevOps Master:课程总结之变更与DevOps集成 https://www.douban.com/note/660466481/
https://www.douban.com/note/830691609/?_i=7188277up8rKES 安全系列:微服务安全是数字化转型必守之城(一)
安全系列:
https://www.douban.com/note/834252216/?_i=7536773up8rKES 安全系列:数据出境安全评估办法与数据安全认证专家(CSA CDSP)
https://www.douban.com/note/830691609/?_i=7537006up8rKES 安全系列:微服务安全是数字化转型必守之城(一)
https://www.douban.com/note/822869736/?_i=7537088up8rKES 云安全系列:CCSK5天课程学习笔记之一为什么要学习云安全管理
艾利·高德拉特 “在瓶颈之外的任何地方作出的改进都是假象,在瓶颈之后作出任何改进都是徒劳的,而在瓶颈之前作出的任何改进则只会导致瓶颈处堆积更多的库存。”
【1】精益管理方法的术语
【2】高维度思考法
【附】高德拉特《目标》五个聚焦步骤:
第一步是确认约束点,直到确定那的确是整个部门层面的约束点,对非约束点的任何改进都只是幻觉,得不到实际任何价值;
第二步是利用约束点,寻找突破这些约束的办法,确保不让约束点浪费任何时间,永远不要让约束点迁就别的资源而干等着,而是应该专注于IT运维部对当前所需完成工作中优先级最高的那一项,一直都要这样;
第三步,使企业或部门的所有其它活动服从于第二步中提出的各种措施;
第四步,具体实施第二步中提出的措施,使第一步中找出的约束环节不再是整个部门的约束点;
第五步,回到步骤1,别让惰性成为约束,持续不断地
