RSA大會不斷推動DevSecOps的成熟和完善

2023年rsa大會於2月24日至28日在美國舊金山召開，今年的會議主題為「human element」，人為因素被認為是影響未來網路安全發展最深遠的主題。devsecops任然是大家關注的焦點之一。rsa創新沙盒是全球網路安全風向標，今年進入十強的安全廠商中近半數聚焦在應用安全領域。blubracket和forallsecure是今年devsecops領域的創新廠商代表。我在整理一下近幾年devsecops的發展。

devsecops是自2023年首次引入rsa大會，在研討會上shannon lietz做了《下一代安全需要你！》的專題分享，提出了devsecops是一套體系化的方**，由戰略驅動，一種通過初始建立並依據真實有效反饋的持續改進實現產品價值、運維、愛親人等個各方面需求的實踐，通過開發、運維和安全團隊對共同努力將安全和合規作為屬性嵌入整個流程，並獲得配套工具鏈支撐。業內同行對devsecops主體內容有了基本共識，論證了devsecops對於企業組織現有it開發與運營模式的顛覆性影響。通過在軟體開發生命週期的早期融入安全環節來降低風險和成本，例如對開發人員、測試人員的安全意識培訓、制定安全編碼規範並實施培訓，安全人員介入需求梳理、源**審計、上線前安全審查等。實現了軟體安全保障工作的左移。devsecops也強調快速迭代的開發方式，強調在ci/cd中的安全測試工作，安全需求、安全測試以及測試結果與需求管理工具和缺陷管理工具對接等，強調了每個階段的工具之間的協作，實現工作狀態、交付成果等在工具之間高效流轉。

2023年rsa大會提出了」golden pipeline」（**工作流）概念，強調自動化工具鏈支撐。是指一套通過穩定的、可落地的、安全的方式自動化地進行ci/cd的軟體研發工作流，這其中工具鏈的自動化支撐程度是降低成本、實現快速迭代的關鍵因素。關鍵安全活動包括：「golden-gate」、ast應用安全測試、sca第三方元件成分分析和rasp執行時應用自我保護。golden-gate**門，其實就是質量門或安全門，相當s-sdlc中的bug 欄或質量門。這個活動中，目的是制定安全閾值或門限，也是軟體可以接受的最低安全標準，應該也是採用威脅分析和安全建模得到需要後續流程中應該進行達到的安全設計、安全實現、安全測試驗證需要達到的目標。ast應用安全測試，則包括了sast、dast和iast三類安全測試技術。sca則是針對軟體中的開源軟體（oss）和第三方庫軟體鎖涉及到的框架、元件、庫等，識別軟體成分清單並識別其中的已知漏洞。rasp則主要是在運營中進行安全檢測和安全阻斷。

2023年 rsa 大會上，強調了devsecops落地實踐過程中文化融合的意義，並期望通過ci/cd以及有效度量機制來實現效率提公升。紅隊文化和開發者的衝突和融合是本屆會議的重點話題之一。安全專家larry maccherone提出了devsecops宣言，強調devsecops融合文化的建立需要對組織重新設計，將安全人員融入每個開發團隊，使得掌握安全能力的專家深入業務、開發、運維等各工作活動，讓devsecops真正創造價值，避免成為效率瓶頸。

2023年 rsa大會上，將風險管理、合規與治理融入devsecops的實踐探索。研討了企業如何向devsecops轉型以及過程中可能所面臨的障礙，如何從公司各層面上獲得支援，包括devsecops人才招聘、培養也是需要考慮的重要方面。

從devsecops 在2017 rsa大會上提出至今，體系和架構越來清晰，相關的方**、技術和相應的工具也日益成熟，國內很多企業也正在該方面的研究和建設，相信未來幾年，devsecops話題越來越多，我們拭目以待。

在建設devsecops過程中，工具鏈中的sast工具和sca工具，我們的產品已經非常成熟，能夠提供自主可控的產品和定製化服務，歡迎諮詢。

關注安全關注作者

RSA大會不斷推動DevSecOps的成熟和完善

不斷學習,不斷總結

不斷學習,不斷總結

RSA演算法基本原理（RSA加密和RSA數字簽名）

RSA大會不斷推動DevSecOps的成熟和完善

不斷學習,不斷總結

不斷學習,不斷總結

RSA演算法基本原理（RSA加密和RSA數字簽名）

相關推薦