感謝大家,前面幾位專家說的是讓我個(gè)人受益匪淺的東西,今天我講的稍微有點(diǎn)跨界,稍微輕松一點(diǎn),盡量用比較輕松的方式跟大家分享我的一些想法。
產(chǎn)生這種問題的主要原因,沒有DevOps之前,大家可以看到有很多的團(tuán)隊(duì),有很多流程,大概是這樣的,對(duì)應(yīng)的環(huán)境開發(fā)的測(cè)試環(huán)境,測(cè)試環(huán)境等等,站群服務(wù)器,對(duì)于我們成熟度很高的企業(yè)來說這不是問題,但是對(duì)于互聯(lián)網(wǎng)公司,或者中小型企業(yè)來說,這本身就有很大的問題。不同的環(huán)境,是由不同團(tuán)隊(duì)負(fù)責(zé)維護(hù)的。經(jīng)常出現(xiàn)什么問題?不是Bug,是環(huán)境問題,要解決這個(gè)問題。DevOps的概念就不詳細(xì)講了,大家都是專家,大家都了解,DevOps就是解決了環(huán)境不統(tǒng)一,不知道每個(gè)環(huán)境有什么版本的問題。有了DevOps之后就產(chǎn)生了新的問題,程序員開始抱怨,你知不知道產(chǎn)品明天就要發(fā)布了,你提的這個(gè)高危漏洞至少需要改2天。開發(fā)改了,我們又要回歸測(cè)試了。DevOps把各個(gè)部門之間的壁壘給打通了,現(xiàn)在互聯(lián)網(wǎng)企業(yè)把運(yùn)營(yíng)安全團(tuán)隊(duì)和運(yùn)維安全團(tuán)隊(duì)放在一起,是這樣的一個(gè)狀況,DevOps是很美好的東西。
我是夏天澤,我們公司叫開源網(wǎng)安,我個(gè)人是安徽區(qū)域的負(fù)責(zé)人。我想跟大家達(dá)到一個(gè)共識(shí),我這個(gè)話題重點(diǎn)在聊什么,主要是應(yīng)用安全的問題。應(yīng)用安全包括什么?自研軟件的安全,如果我們廠商是軟件廠商,交付的產(chǎn)品,代碼是我自己寫的。前面有幾位銀行的負(fù)責(zé)人,銀行運(yùn)維階段,把不同廠商的產(chǎn)品運(yùn)行在我們自己內(nèi)部的環(huán)境上,這個(gè)應(yīng)用本身,這個(gè)軟件本身,這個(gè)平臺(tái)本身,是不是安全的?對(duì)應(yīng)到我們個(gè)人來說,我想保持健康的飲食、適當(dāng)?shù)倪\(yùn)動(dòng),這是我們每個(gè)人可以自己控制的,這是個(gè)人生活,健康安全。對(duì)于應(yīng)用安全來說,云主機(jī)租用,因?yàn)榇a是你寫的,你要保證這個(gè)東西是安全的,如果你采用別人的產(chǎn)品,在你的環(huán)境里運(yùn)行,要保證產(chǎn)品本身是安全的。我可以在外面做一些保護(hù)的措施,保護(hù)的東西,但是被保護(hù)的對(duì)象本身的脆弱性,如果用了很多盔甲給包起來,但是本身就是一個(gè)雞蛋殼,本身很脆弱,保護(hù)得再好意義也不是很大,我們要把雞蛋殼本身做得安全,不再是雞蛋殼,可能是鐵做的東西。
這是開源軟件安全分析報(bào)告,應(yīng)用程序中開源軟件代碼占的平均百分比是35%,公司使用的開源軟件數(shù)量比原計(jì)劃增加的倍數(shù)是2倍,平均每個(gè)應(yīng)用含有的開源軟件安全漏洞是22.5個(gè)。
這是Gartner的統(tǒng)計(jì)報(bào)告,同樣的問題問不同的人,你認(rèn)不認(rèn)為安全組把部署環(huán)境,或者開發(fā)的速度在拖慢呢?我們?nèi)绻柊踩藛T,他們說70%安全會(huì)拖慢的。我們同樣的問題去問開發(fā)人員,他們是81%。說明無論是開發(fā),部署,還是交付流程,都會(huì)拖慢。敏捷開發(fā),專家也說了,我們對(duì)于特定應(yīng)用來說,每?jī)芍芫鸵M(jìn)行上線,對(duì)于大的企業(yè)來說,三四百個(gè)應(yīng)用是很重要的,每天有很多應(yīng)用上線,你的速度不行怎么辦?安全又會(huì)影響速度。DevSecOps,我跟美國(guó)同事聊了一下,他們說DevSecOps是由安全人員提出的,還有一種說法是SecDevOps安全要領(lǐng)先于DevOps。
對(duì)于不同的角色來說,側(cè)重點(diǎn)是不一樣的,對(duì)于開發(fā)者來說,缺乏安全意識(shí)。在中國(guó),當(dāng)然在美國(guó)也是這樣,你想找到懂安全的開發(fā),把應(yīng)用做到安全,一定是在設(shè)計(jì)階段,開發(fā)階段,就把相應(yīng)的安全想法和安全實(shí)施做進(jìn)去,但是遇到一些不懂安全的開發(fā),沒有安全意識(shí),怎么把產(chǎn)品做到安全?你報(bào)了3個(gè)高危的安全問題,10個(gè)中危的安全問題,我怎么辦,基于市場(chǎng)的壓力可能會(huì)妥協(xié)。但是傳統(tǒng)來說,認(rèn)為安全的事情就是安全團(tuán)隊(duì)的事情,缺乏應(yīng)用安全的專才,現(xiàn)在中國(guó)的安全團(tuán)隊(duì)是做運(yùn)維比較多一些,想往應(yīng)用內(nèi)部的時(shí)候缺乏相應(yīng)的經(jīng)驗(yàn)。
安全這個(gè)東西不是你們一家在用,全世界都在用,被廣泛使用的東西,對(duì)它的研究越來越多,一旦發(fā)現(xiàn)小問題,你還沒有反映過來,攻擊代碼就已經(jīng)出來了,一旦使用了大量的第三方軟件就面臨著這樣的威脅。對(duì)于安全人員來說,完全不知道第三方代碼是怎么來的,如果用比較規(guī)范的引用方式,還可能通過人工的方式或者自動(dòng)化的方式建立軟件成分資產(chǎn),這個(gè)軟件里面有多少第三方庫,第三方是什么樣的版本,現(xiàn)在是什么狀況。
會(huì)上,開源網(wǎng)安CSO,安徽區(qū)域Leader的夏天澤先生,為大家?guī)?/span>《DevSecOps場(chǎng)景下自動(dòng)化安全測(cè)試二三事》的主題演講。以下為演講實(shí)錄(未經(jīng)本人核實(shí)):
希望有興趣的朋友可以找我聊,感謝大家!
