DevSecOps正在從根本上改變現(xiàn)代應(yīng)用程序的構(gòu)建、測(cè)試、部署和監(jiān)控方式。安全現(xiàn)在是主要關(guān)注點(diǎn)。但是，敏捷和迭代開發(fā)需要能夠與 CI\CD 管道無(wú)縫集成并自動(dòng)執(zhí)行保護(hù)工作負(fù)載的過(guò)程的工具。

傳統(tǒng)的安全工具通常不夠敏捷或可擴(kuò)展，無(wú)法滿足這些需求。考慮到自動(dòng)化、集成和可擴(kuò)展性（例如使用 RESTful API）而構(gòu)建的DevSecOps工具填補(bǔ)了這一空白。SAST、DAST 和 IAST 等現(xiàn)代 AppSec 工具是DevSecOps工具的典型示例。

為什么DevSecOps工具很重要？

對(duì)于現(xiàn)代企業(yè)來(lái)說(shuō)，DevSecOps 對(duì)于每一個(gè)開發(fā)項(xiàng)目都是必不可少的，DevSecOps工具使得 DevSecOps 的實(shí)施成為可能。例如，通過(guò)使用這些工具，企業(yè)可以開始利用“左移安全”的力量，使安全成為端到端應(yīng)用程序開發(fā)的一部分。

使用DevSecOps工具集成安全性的 5 種方法

企業(yè)可以使用多種方法來(lái)保護(hù)工作負(fù)載，但從根本上說(shuō)，在整個(gè)開發(fā)周期中集成安全性是最可靠的。下面，我們將介紹企業(yè)可用于使用現(xiàn)代DevSecOps工具和技術(shù)集成安全性的 5 種方法。然后，我們將研究一個(gè)可大規(guī)模啟用這些方法的平臺(tái)。

方法 1：將靜態(tài)代碼分析作為 CI\CD 流水線的一部分

靜態(tài)應(yīng)用程序安全測(cè)試 (SAST) 是一種用于自動(dòng)化白盒安全掃描的出色機(jī)制。SAST 是一個(gè)“白盒”DevSecOps工具，因?yàn)樗治黾兾谋驹创a而不是運(yùn)行掃描編譯的二進(jìn)制文件。分析源代碼后，SAST 工具會(huì)將結(jié)果與一組預(yù)先確定的策略進(jìn)行比較，以確定是否存在已知安全問(wèn)題的任何匹配項(xiàng)。此過(guò)程有時(shí)稱為靜態(tài)代碼分析。

SAST 工具可以在源代碼中輕松檢測(cè)到的漏洞示例包括：

• SQL注入
• XSS漏洞
• 緩沖區(qū)溢出
• 整數(shù)溢出

因?yàn)樗鼈兎治鲈创a，所以這些工具非常適合在代碼接近生產(chǎn)之前識(shí)別CI\CD 管道中的常見漏洞。此外，由于 SAST 處理純文本源代碼，它們使企業(yè)能夠在代碼構(gòu)建之前檢測(cè)漏洞，并在應(yīng)用程序完成之前對(duì)其進(jìn)行安全測(cè)試。

方法 2：針對(duì)每個(gè)環(huán)境運(yùn)行自動(dòng)黑盒漏洞掃描

SAST 應(yīng)用程序可以成為 DevSecOps 的強(qiáng)大工具，但存在許多 SAST 解決方案無(wú)法檢測(cè)到的漏洞。例如，SAST 工具從不實(shí)際執(zhí)行代碼。因此，他們無(wú)法檢測(cè)到錯(cuò)誤配置或其他僅在運(yùn)行時(shí)暴露的漏洞等問(wèn)題。動(dòng)態(tài)安全應(yīng)用程序測(cè)試 (DAST) 工具可以幫助填補(bǔ)這一空白。

DevOps 團(tuán)隊(duì)可以使用 DAST 工具對(duì)已編譯和正在運(yùn)行的代碼執(zhí)行自動(dòng)化“黑盒”安全掃描。DAST 解決方案將在稱為“模糊測(cè)試”的過(guò)程中使用已知的漏洞利用和惡意輸入來(lái)掃描應(yīng)用程序。DAST 工具將分析響應(yīng)以在掃描運(yùn)行時(shí)檢測(cè)漏洞或其他不良反應(yīng)（例如崩潰）。

運(yùn)行這些測(cè)試的好處是企業(yè)可以檢測(cè)只能在運(yùn)行時(shí)發(fā)現(xiàn)的漏洞和錯(cuò)誤配置。通過(guò)將 DAST 掃描器集成到他們的 CI\CD 管道中，企業(yè)可以自動(dòng)檢測(cè)開發(fā)、QA、登臺(tái)和生產(chǎn)環(huán)境中的安全問(wèn)題

方法 3：使用 IAST 工具簡(jiǎn)化安全掃描

交互式應(yīng)用程序安全測(cè)試 (IAST) 將 SAST 和 DAST 結(jié)合到一個(gè)單一的安全測(cè)試解決方案中。對(duì)于希望盡可能多地消除摩擦并將安全性無(wú)縫集成到其 CI\CD 管道的各個(gè)方面的企業(yè)來(lái)說(shuō)，使用 IAST 工具來(lái)實(shí)現(xiàn) DAST 和 SAST 的功能通常是最有意義的。

此外，通過(guò)將 SAST 和 DAST 的功能組合到一個(gè)單一的整體DevSecOps工具中，IAST 平臺(tái)不僅簡(jiǎn)化了安全掃描，而且還實(shí)現(xiàn)了其他方式無(wú)法實(shí)現(xiàn)的可見性和洞察力。

例如，借助 IAST 平臺(tái)，企業(yè)可以通過(guò)動(dòng)態(tài)掃描自動(dòng)模擬高級(jí)攻擊，根據(jù)應(yīng)用程序調(diào)整漏洞利用，如果檢測(cè)到問(wèn)題，則使用代碼工具提醒 DevSecOps 團(tuán)隊(duì)注意特定的有問(wèn)題源代碼行。

方法 4：利用 SCA 工具自動(dòng)檢測(cè)框架和依賴項(xiàng)的問(wèn)題

2021 年開發(fā)的應(yīng)用程序并非從頭開始編寫。他們使用范圍廣泛的開源庫(kù)，并且可能具有復(fù)雜的依賴鏈。因此，2021 年的DevSecOps工具必須能夠檢測(cè)到這些依賴項(xiàng)中的安全漏洞。集成源成分分析 (SCA) 工具可以幫助應(yīng)對(duì)這一挑戰(zhàn)。通過(guò)將 SCA 集成到 DevSecOps 管道中，企業(yè)可以快速可靠地檢測(cè)其應(yīng)用程序組件的潛在漏洞和問(wèn)題。

方法 5：對(duì)容器執(zhí)行自動(dòng)端到端掃描

容器化工作負(fù)載、微服務(wù)和Kubernetes (K8s) 是現(xiàn)代應(yīng)用程序的標(biāo)準(zhǔn)，經(jīng)過(guò)優(yōu)化以與它們一起使用的DevSecOps工具是必須的。至少，企業(yè)應(yīng)該集成工具，在他們的管道中自動(dòng)化這些功能：

• 形象保證。確保只部署安全和授權(quán)的容器鏡像。
• 入侵檢測(cè)。使用帳戶活動(dòng)、K8s 集群中的操作和網(wǎng)絡(luò)流量等數(shù)據(jù)檢測(cè)惡意行為。
• 運(yùn)行時(shí)保護(hù)。在整個(gè)容器生命周期中實(shí)時(shí)主動(dòng)檢測(cè)和阻止?jié)撛谕{。

此外，自動(dòng)執(zhí)行零信任策略并使用管理日志和安全警報(bào)的可觀察性工具可以改善整體企業(yè)安全狀況。