DevSecOps在資安角度上的重要環節處與精神何在

2020 / 07 / 30

安華聯網科技Onward Security

上一篇談及將DevSecOps中的安全環節，與每個團隊的利益相互結合，最終須融入整個企業文化中。這一篇將分享: DevSecOps在資安角度上的重要環節處與精神何在，歡迎您的閱讀與指教。

軟體開發時導入DevSecOps 自動化系統可降低門檻
根據IBM的研究統計資料顯示，產品在釋出之後修復安全問題，比在設計階段時解決，其成本多出4到5倍，而在維運階段才修復安全問題，其成本將達到、甚至超出100倍。因此，DevSecOps需要在軟體開發前期介入，內容包括對開發、維運人員的安全意識及安全開發規範的教育訓練、安全需求(非功能需求)的匯入、以及前期的程式碼稽核工作等。

雖然在DevSecOps模式中，看似安全環節增加了工作內容，但從整個軟體生命週期的開發與維護成本來看，提前發現問題可讓成本大幅降低。

此外，DevSecOps的安全工作經常被誤以為會造成開發上的瓶頸，例如安全要求太多、測試與評估時間太長，或安全監控實施困難等，事實上，這是由於大多數的公司不願投入人力又不知如何進行自動化，導致無法將DevSecOps與現有流程及文化進行整合而失敗。DevSecOps採用的是快速疊代的開發方式，讓應用系統在最短週期內，實現應有的價值與安全屬性，相較於其他資訊安全方法論，更為快速、彈性，因此，自動化的介入，可以協助團隊更輕易的達成DevSecOps的實現，且使其更具有實務價值與效益。

須精準掌握資安問題即時移除嚴重弱點
許多情況下，團隊為了加速產品的開發與上市時程，產品上的軟體並不完全是自主研發，而是採用公開的原始碼(Open Source)或函式庫中蒐集、整合大量的預編譯組件及函式庫，例如GitHub、SourceForge 或Docker Hub等，自行撰寫的程式碼，在現成軟體中所占的比率也大幅降低，相對應的，安全風險的問題焦點也有所轉移。大多數資安風險都可以通過識別這些公開的函式庫、第三方組件的已知弱點和錯誤配置來完成，待問題解決後才投入生產。從安全的角度來看，識別Open Source 中的已知弱點，比發掘自行撰寫的程式碼中的未知弱點要容易的多，最簡單快速的一種方式，便是將Open Source或第三方組件與弱點資料庫做比對。

除上述在設計與開發階段所提到的自動化安全弱點分析比對外，第三方安全測試工具的支援也扮演重要的角色，如何有效的進行安全確認與弱點驗證，確保在產品最終釋出之前，將大多數風險移除，便是開發團隊實現安全開發的重要關卡。

安全文化需貫穿整個DevSecOps流程
而在產品釋出後的維運階段，最重要的則是持續性的，隨時監控與即時處理來自內部或外部的安全威脅，例如對外伺服器是否遭到攻擊、自家產品弱點是否在未被通知的情況下公開揭露於網路上、是否有最新的Open Source弱點被發現，最後則是隨時關注最新的網路攻擊趨勢，以即早採取相對應的安全防護措施。
以過去的經驗來看，在這個階段，團隊通常是最缺乏溝通與合作的，特別是針對產品的安全問題，維運團隊無法與開發團隊建立起一個有效與明確的分工方式，加上部門主責的重點不同，導致當產品安全問題發生時，最終還是開發團隊被推出來一線直接面對，維運團隊始終無法施上助力。這時最好的解決方法，便是建立一套標準程序(SOP)，明確的說明各團隊的責任與分工，以及當事件發生時的處理流程；當然，其中一個重點，還是須要有專責的團隊與人力來居中協調，而安全團隊是可以扮演此角色的最佳人選。

若相關團隊能長期累積相關資安事件的溝通協調與處理經驗，甚至於將相關安全資訊回饋至開發團隊，除了能使整體流程與措施更加完善外，相信可以一定程度上達到預測或預防網路攻擊事件或產品弱點的發生，這也是DevSecOps重要的環節與精神。

採用DevSecOps的效益縮短事件處理時間
透過DevSecOps的流程建立，可有效整合開安、安全與維運團隊之間的溝通管道，縮短事件的反應時間，這將會是最直接且明顯的好處；依據DigiCert公司的調整報告顯示，有98%的企業正在或計畫採用DevSecOps；另根據統計資料顯示，未導入DevSecOps的企業，需要174天的時間才能完成修補動態安全測試時所發現的弱點，但若使用DevSecOps的企業，則僅需92天就可以完成，差距將近2倍的時間；此外，對於DevSecOps的企業而言，在所有被發現的弱點中，有53%的比例能夠在10天之內完成修補，而未導入的企業，則只有5%可在10天之內修補完成。從這些數字上差距，正可證明導入DevSecOps是可以加快弱點或事件的處理事效，換言之，也當然具備了降低相關成本費用的好處。

安華聯網資安團隊提醒您
相較於DevOps，DevSecOps多了一層對於安全的把關。過往產品的漏洞惟有在上市之後才能夠發現，不過現在即能在開發、設計的同時設想到安全性問題。HERCULES SecFlow 便提供實現DevSecOps流程的自動化協助工具，讓使用者快速且方便的建立資安溝通管道與機制，能各自賦與相關團隊對應的權責，經由指派任務、審核和回報功能，讓所有團隊更快速的適應產品安全開發觀念。

https://www.onwardsecurity.com/

DevSecOps 程式開發