DEVOPS:选择正确的工具

在过去的几年中，devsecop 已经成为许多有远见的企业的安全选择过程。

这些组织已经开始明白，在产品和应用程序开发的后期阶段修复 bug，除了 络罪犯，对任何人都没有好处。因此，他们彻底改革了传统的流程，联合开发、运营和安全团队组建了 devsecop，这些团队现在协同工作，合作将安全嵌入到应用程序和软件开发的整个过程中。

这样做的好处是显而易见的: 及早发现并修复漏洞可以防止 络犯罪，同时为客户带来内心的宁静、成本的节约和更好的产品。然而，许多组织在过渡到 DevSecOps 时面临的挑战之一是使过程无缝化，确保它不会放慢软件开发生命周期，使安全检查更加繁琐或者在团队中造成挫折。

安全团队需要确保他们的 DevSecOps 项目为组织文化提供价值，同时加快修复时间，捕获正确的度量标准，并根据风险对问题进行分类和优先排序，从而避免任何可能造成重大损害的事情发生。

此外，他们还需要选择正确的 DevSecOps 工具包来进行应用程序安全测试，同时确保这些工具易于集成到软件开发中，并且可以跨多个项目使用。在确定测试工具时，DevSecOps 团队往往被可用的范围和数量所淹没，这使得选择使用哪些工具和学习如何使用它们成为一个雷区，即使对于那些受过正确培训和具有专门知识的人来说也是如此。

一个 DevSecOps 自动化程序需要许多技术工具和文化方面的结合来使其工作。安全团队需要静态分析工具来检查代码，第三方库分析来检查依赖关系，单独分析来检查基础设施即代码(IaC)配置，扫描器来检查容器是否有问题，测试运行系统的工具，云安全检查，以及补丁和端口的基础设施测试。他们还需要将这些工具与每个团队正在使用的正确技术相匹配，并跟上不断的变化。

考虑到所有这些复杂性，DevSecOps 团队如何克服这些挑战，并使用正确的工具集构建出有效的 DevSecOps 程序？

这里有一些顶级的小贴士可以帮助他们。

保持安全程序的灵活性

您的团队将使用不同的技术堆栈、不同的语言、框架等等。如果你把你的过程和一些工具绑得太紧，那么当事情发生变化的时候就很难插入新的检查。请记住，目标是一个具有正确可见性的一致的、可重复的安全过程ーー技术工具为其提供支持，但它们不是整个过程。12个月后你需要什么样的安全检查，而你现在还没有？36个月怎么样？这些问题必须不断地提出来。

自动化是你的朋友

如果开发管道运行平稳且自动，那么任何手动安全步骤都不适合该流程。将安全工具自动化在一起——从编排它们的运行到聚合它们的响应和管理问题——将节省大量时间，并为您提供与发布版本一致的所需结果。

关注你的投资回 率

大型商业工具未得到充分利用的情况非常普遍; 您拥有重复测试的许可证，并且经常出现代码丢失的情况，但是过程或集成意味着测试没有按照需要那样频繁地应用，或者结果的收集和处理需要时间。探索将商业工具轻松地引入现有流程的方法。

世上没有免费的午餐

开源 区提供了很好的安全工具，但请记住: 您的团队使用这些工具和管理输出所花费的时间是有代价的。从学习如何运行它们的开发人员，到实际运行它们、提取结果或管理假阳性所需的时间，这些都不是免费的。一个每次发布都要花费两个小时工作的“免费”工具可能并不值得。

是关于协作的

将安全检查编织到开发过程、 CI/CD 管道、票务系统和 sprint 会议中，有助于安全成为开发过程的一部分，但并非每个开发人员都是(或者想要成为)安全专家。考虑一下发展和安全的目标如何能够在两者之间达成一致。开发人员如何能够不经过多少努力和思考就包含安全性？安全性如何帮助提供工具并帮助开发人员管道中的分流问题？这个过程如何才能符合审计师的工具和正确的概况，而不仅仅是为了避免 告问题而关闭到零？无论使用何种工具，安全性如何在规模上增加价值，以帮助开发人员更快地修复问题？