[淺談DevSecOps] 如何兼顧產品開發的敏捷度與安全性?

2020 / 07 / 21

安華聯網科技Onward Security

過往慘痛的案例告訴我們，DecvSecOps的重要性。2019年，Facebook再次被爆出個資洩漏事件，位於暗網的線上資料庫，有超過2.67億個Facebook使用者個人資料被洩漏，包含使用者的姓名，Facebook的ID，以及電話號碼，這些使用者中可能受到垃圾郵件或釣魚郵件的網路攻擊，這使得Facebook遭受到信用的損失和股價的重挫。

對於很多企業而言，Cloud和DevOps是推動企業業務發展的關鍵技術引擎。企業的IT、安全和開發人員都知道Cloud和DevOps環境中，有大量的敏感訊息(如secret key)需要保護，儘管大部分的人都有安全意識，但我們仍能看到諸多的重要資料洩漏事件。

在網路急速發展的大數據時代，很多企業都貫徹「敏捷」的思維和行動，這是一個同時需要面對不同風險的信號，並且正在不斷被驗証。越來越多的消費者、監管機構和市場發現，由此所造成的資料洩漏的代價是高的、無法接受的。事實上，很多資料洩露事件都是可以提前預防的。透過DevSecOps的概念的推動，與自動化系統的輔助，這些問題與風險都將被有效的降低，並可確保產出的安全與品質。而要做好DevSecOps的導入並不是這麼容易，本文將說明建置DevSecOps時的關鍵事項，以及如何更有效率且有效益的達成此目標。

DevSecOps的精神在於文化
DevSecOps是Development、Security和Operations的縮寫。DevSecOps的基本理念是讓每一個解決方案、開發測試、IT與維運及多個跨部門協作人員，都能融入開發的安全理念，並正確的理解DevOps的敏捷做法與含義，也就是說DevSecOps是一個群體做法，核心理念為「安全是整個團隊所有成員的責任，需要貫穿整個軟體生命週期的每一個環節。」，簡單來說，DevSecOps就是一種安全即文化的實現，因此，最重要的是，將DevSecOps中的安全環節，與每個團隊的利益相互結合，最終須融入整個企業文化中。

團隊合作實踐資安
DevSecOps的一大重點是讓開發團隊、維運團隊及資安團隊彼此相互合作，能站在對方的角度客觀看待問題，解決過去互相對立或牽制的問題。維運人員通常不太了解開發或資安，而開發人員也不擅長維運或資安；DevSecOps就是希望打破這條隔閡，將「做資安」的權限與責任進行分工，並讓資安團隊參與其中，居中溝通協調，一起主動實踐資安、一起面對和處理弱點、一起讓產品更安全。

下一篇，安華聯網科技資安團隊將分享DevSecOps與自動化的相輔相成與探討DevSecOps在資安角度上的重要環節處與精神何在。敬請期待。

安華聯網公司簡介
安華聯網是連網產品資安合規解決方案的國際領導廠商，成立於2014年，除具備國際級的實驗室外，更自主開發自動化AI資安評估產品，擁有多國專利與國際獎項，可提供政府單位、IoT/IIoT設備商、金融、電信等產業客戶取得資安認證，並發掘潛在的資安威脅與弱點，保障重要資訊或產品安全，符合資安法規及產業標準的要求。https://www.onwardsecurity.com/

安華聯網科技 Onward DevSecOps