觀點

[淺談DevSecOps] 如何兼顧產品開發的敏捷度與安全性?

2020 / 07 / 21
安華聯網科技Onward Security
[淺談DevSecOps] 如何兼顧產品開發的敏捷度與安全性?
過往慘痛的案例告訴我們,DecvSecOps的重要性。2019年,Facebook再次被爆出個資洩漏事件,位於暗網的線上資料庫,有超過2.67億個Facebook使用者個人資料被洩漏,包含使用者的姓名,Facebook的ID,以及電話號碼,這些使用者中可能受到垃圾郵件或釣魚郵件的網路攻擊,這使得Facebook遭受到信用的損失和股價的重挫。
 
對於很多企業而言,Cloud和DevOps是推動企業業務發展的關鍵技術引擎。企業的IT、安全和開發人員都知道Cloud和DevOps環境中,有大量的敏感訊息(如secret key)需要保護,儘管大部分的人都有安全意識,但我們仍能看到諸多的重要資料洩漏事件。
 
在網路急速發展的大數據時代,很多企業都貫徹「敏捷」的思維和行動,這是一個同時需要面對不同風險的信號,並且正在不斷被驗証。越來越多的消費者、監管機構和市場發現,由此所造成的資料洩漏的代價是高的、無法接受的。事實上,很多資料洩露事件都是可以提前預防的。透過DevSecOps的概念的推動,與自動化系統的輔助,這些問題與風險都將被有效的降低,並可確保產出的安全與品質。而要做好DevSecOps的導入並不是這麼容易,本文將說明建置DevSecOps時的關鍵事項,以及如何更有效率且有效益的達成此目標。
 
DevSecOps的精神在於文化
DevSecOps是Development、Security和Operations的縮寫。DevSecOps的基本理念是讓每一個解決方案、開發測試、IT與維運及多個跨部門協作人員,都能融入開發的安全理念,並正確的理解DevOps的敏捷做法與含義,也就是說DevSecOps是一個群體做法,核心理念為「安全是整個團隊所有成員的責任,需要貫穿整個軟體生命週期的每一個環節。」,簡單來說,DevSecOps就是一種安全即文化的實現,因此,最重要的是,將DevSecOps中的安全環節,與每個團隊的利益相互結合,最終須融入整個企業文化中。

團隊合作實踐資安
DevSecOps的一大重點是讓開發團隊、維運團隊及資安團隊彼此相互合作,能站在對方的角度客觀看待問題,解決過去互相對立或牽制的問題。維運人員通常不太了解開發或資安,而開發人員也不擅長維運或資安;DevSecOps就是希望打破這條隔閡,將「做資安」的權限與責任進行分工,並讓資安團隊參與其中,居中溝通協調,一起主動實踐資安、一起面對和處理弱點、一起讓產品更安全。
 

下一篇, 安華聯網科技資安團隊將分享DevSecOps與自動化的相輔相成與探討DevSecOps在資安角度上的重要環節處與精神何在。敬請期待。
 
安華聯網 公司簡介
安華聯網是連網產品資安合規解決方案的國際領導廠商,成立於2014年,除具備國際級的實驗室外,更自主開發自動化AI資安評估產品,擁有多國專利與國際獎項,可提供政府單位、IoT/IIoT設備商、金融、電信等產業客戶取得資安認證,並發掘潛在的資安威脅與弱點,保障重要資訊或產品安全,符合資安法規及產業標準的要求。https://www.onwardsecurity.com/