與利益相關(guān)方的密切溝通、廣泛的測試外加強大的自動化功能,使作為軍事情報機構(gòu)的國家安全局受益匪淺。
對于高度關(guān)注安全的企業(yè)而言,特別是希望在快速開發(fā)的過程中(例如推行DevOps等敏捷框架)保障安全的企業(yè),美國國家安全局(NSA)給出了一條重要“指示”:多測試,慢一點,只有穩(wěn)扎穩(wěn)打,開發(fā)人員才會真正迸發(fā)出能量。
國安局DevX團隊的DevOps管道技術(shù)負責人Eric Mosher在上周虛擬GitLab Commit大會上分享,從2018年開始,國安局啟動了全新項目,旨在為內(nèi)部開發(fā)人員提供更好的開發(fā)環(huán)境支持,合并多個源代碼庫實例。雖然作為秘密政府機構(gòu),國安局必須在大型隔離網(wǎng)絡(luò)內(nèi)工作,但其DevX團隊仍然立足AWS開發(fā)出“高度可用、具備彈性且可擴展的業(yè)務(wù)架構(gòu)”。Mosher表示,“AWS架構(gòu)”幫助他們在安全環(huán)境中實現(xiàn)了軟件的快速開發(fā)。
國安局的源代碼庫最初是在2013年通過代碼安裝完成,2018年被棄用,取而代之的是用于改善開發(fā)人員工作體驗的DevX項目。DevX團隊對原有環(huán)境進行了全面的重新設(shè)計,希望在保障安全要求的前提下,盡可能將自定義配置控制在最低水平。Mosher解釋道,以往即使經(jīng)歷無數(shù)次測試運行,開發(fā)人員仍會遇到各式各樣的問題。
他指出,“我們不知道該選擇哪種正確的測試方式,國安局明顯需要更智能、自動化程度更高的解決方案。在升級之后,我們引入了更多自動化測試手段……同時也讓自動化與智能化得以融合?!?/p>
Mosher表示,最終,DevX項目引入了全面支持DevOps的業(yè)務(wù)管道,在幫助政府開發(fā)人員快速構(gòu)建功能的同時,繼續(xù)嚴格遵循國安局運營條例中提出的安全要求。
他提到,“對我來說,真正重要的任務(wù)就是把開發(fā)人員們服務(wù)好,讓他們切實體會到我們?yōu)樗麄冑x予的權(quán)利與達成使命的能力?!?/p>
國安局還與其他多家企業(yè)攜手推動將DevOps與安全性相結(jié)合的DevSecOps倡議,各方也在過去一年中體會到由此帶來的重大助益。Forrester 研究公司副總裁兼研究總監(jiān)Amy DeMartine在本屆虛擬大會上表示,開發(fā)人員得以有效衡量其代碼質(zhì)量并獲得來自客戶有效的反饋,這兩項指標也為安全保障提供了有力支持。
Amy 提到,“開發(fā)人員最關(guān)心的是什么?事實上,他們的評估方法與安全團隊的評估思路截然不同。但考慮到雙方所關(guān)注的內(nèi)容、評估方法以及獲得成功的具體方式時,我們意識到安全性其實是雙方共同的訴求。”
在商業(yè)競爭推動企業(yè)快速發(fā)展的同時,網(wǎng)絡(luò)安全的殘酷現(xiàn)實也讓眾多組織被迫在開發(fā)流程中更多考慮到安全檢查的重要意義。例如,根據(jù)Forrester方面的報告,2019年有三分之一企業(yè)承受違規(guī)帶來的后果,而在外部攻擊事件中造成違規(guī)的主要原因包括40%的軟件漏洞以及37%的Web應(yīng)用程序漏洞。
面對這一難題,自動化既能夠加快開發(fā)速度,又可以提高安全性水平。根據(jù)調(diào)查,在未來12個月內(nèi),開發(fā)人員的首要任務(wù)包括更多基于云的開發(fā)環(huán)境并更好地滿足組織自身的業(yè)務(wù)需求,而自動化也成為未來十大優(yōu)先事項之一。開發(fā)人員希望提高安全開發(fā)生命周期的自動化程度、加快發(fā)布速度與部署周期,同時計劃運用更多開源軟件成果以縮短開發(fā)時長。
根據(jù)Forrester的調(diào)查結(jié)果顯示,38%的開發(fā)人員以每月一次甚至更高的頻率發(fā)布軟件成果,這一比例高于2018年調(diào)查中的27%。
Amy 解釋道,自動化技術(shù)在安全領(lǐng)域的效果甚至比助力開發(fā)本身還要更強一些。據(jù)統(tǒng)計每天對應(yīng)用程序進行自動掃描的企業(yè)(每年300次或以上),其安全漏洞修復(fù)速度要比每年掃描少于3次的企業(yè)快11.5倍。
Amy 表示,“企業(yè)顯然正在努力加快產(chǎn)品發(fā)布速度,希望更全面地將自身優(yōu)勢呈現(xiàn)在客戶面前?!?/p>
Forrester還建議各類組織機構(gòu)應(yīng)實施靜態(tài)應(yīng)用程序安全測試(SAST)、動態(tài)應(yīng)用程序安全測試(DAST)以及軟件組成分析(SCA)等方案。截至目前,只有三分之一的企業(yè)在開發(fā)階段實施靜態(tài)應(yīng)用程序安全測試,相比之下決定在開發(fā)與測試階段中實施動態(tài)應(yīng)用程序安全測試的企業(yè)占比更高,分別為34%與43%。交互水平更高的應(yīng)用程序安全測試(IAST)的接受度還要更高一些。
據(jù)Forrester總結(jié),包括管理及檢查開源組件安全性在內(nèi)的軟件組成分析類方案,同樣保持著旺盛的發(fā)展勢頭。目前已經(jīng)有37%的企業(yè)計劃將該功能添加到開發(fā)流程內(nèi),占已在采用此類方案的企業(yè)的31%。
最后,國安局還廣泛采用自動化技術(shù)以促進并提高自身基礎(chǔ)設(shè)施的可靠性水平。國安局方面使用Terraform進行云基礎(chǔ)設(shè)施自動化,使用Ansible進行構(gòu)建自動化,并使用GitLab推動持續(xù)集成與持續(xù)部署。Mosher強調(diào)稱,在這套立足云端構(gòu)建而成的大型基礎(chǔ)設(shè)施當中,只有兩款應(yīng)用程序為針對國安局特殊需求定制開發(fā)。
他總結(jié)道,“正因為如此,我們能夠迅速行動,清退以往令人頭痛不已的大量定制化工作?,F(xiàn)在,云平臺提供的定制化選項已經(jīng)非常穩(wěn)定,而且擁有良好的集成效果?!?/p>