官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 观点

Devsecops由devops演变而来。随着云计算以及微服务的发展以及业务上云成为趋势化发展。Devops自身的模型需要一个更为高效敏捷安全的流程。Devops经历了瀑布模型到敏捷模型的 “进化”从传统的开发运维融入了安全。

我司基础架构为上云架构目前处于php向java语言转变过程中，其中由于业务快速迭代和持续交付的速度十分快。需要一个更加高效的流程。由于持续交付和新型软件研发模式（CI/CD）流程的兴起。以安全左移 内嵌 自动化为标志的devsecops开始兴起，devsecops与devops之间只多了一个Sec但是Sec在中间极为关键的作用。其中devsecops的一个核心理念就是每个环节都在为安全负责。构建了一个贯穿了从研发到运维过程的安全模型。

从互联网企业构建devsecops实践来结合公司具体研发流程进行devsecops的流程构建。

1. devsecops模型的宣导。贯穿安全理念在研发流程当中从技术评审 创建 测试 预发布 发布 预防 响应 检测这几个方面进行一个流程宣导。Devsecops全程融入与应用开发流程实现安全评审 安全测试 安全响应 安全检测 安全运营五个方向的具体融入。
2. 流程上需要把研发 安全 运维多线工作串联实现多方协作才能实现把devsecops的模型成功落地。安全也需要低入侵 柔和的开发运维流程。
3. 技术层面构建devsecops工具链落地。在SATS与IAST之间我选择了IAST进行流程介入。通过IAST对接jenkins实现研发自助式提交测试请求。在uat环境上进行被动代码插桩模式扫描。基本实现了对uat环境应用做到低入侵性安全测试，同时不影响业务接口功能测试。SAST工具在devsecops流程中前置实际落地实践应在IAST与DAST搭建完成之后再进行接入SAST工具进行自动化安全测试工具链路的搭建。
4. 

   如图在实际devsecops还有一个应用安全防护的rasp工具。rasp工具可以保护正在运行时的应用。可以拦截通用的反序列化CC链类攻击

   1. 第一阶段目标接入IAST自动化灰盒测试平台对接到jenkins。进行devsecops文化塑造。核心点在于保障安全性的同时满足业务快速迭代需求。
      • 在业务团队设置安全对接人（即安全主责人）。搭建桥梁。让安全对接人配合安全团队进行一些前期安全赋能工作。进而影响业务团队
      • 进行安全指标量化。安全团队和PM团队一起建立安全质量体系。例如安全性考核积分来对不同的团队进行安全度量。
      • 针对研发效能管理平台上线强结合的安全动作。进行不同流程和平台的适配
      • 前期进行宣贯devsecops敏捷模型。进行安全编码规范培训
      • 第二阶段目标实现内部代码托管平台增量接入SAST静态代码扫描工具。检测代码编写过程中是否引入了不安全的依赖库和三方组件。杜绝应用开发当中引入组件层面可能存在的漏洞。实现研发自助式进行代码安全扫描并自动出具报告在研发效能平台中。在应用部署层面实现主机层安全基线检查杜绝部署过程中可能产生的未授权以及软件配置方面漏洞。

   第三阶段目标实现devsecops全工具链落地通过工具链完成自动化devsecops安全测试

   
   1. 宏观阶段目标

   5.1 原有应用安全风险点进行风险收敛。对尚未上线的应用全面融入安全性考核和进行安全测试。争取应用安全能力左移到测试阶段。

   5.2 阶段二

   Devsecops工具链的流程跑通。研发从jenkins上可以提起IAST灰盒安全测试请求。安全团队进行例行性安全测试。同时完善应用入网安全评审流程禁止应用“带病上线”

   5.3阶段三

   完善多团队安全协作流程。持续贯穿devsecops理念。达到研发运维业务每个环节都存在安全意识。人人都是安全的一个环节。

5. 另打个广告：
6. 豌豆思维招聘安全运维&安全运营工程师
7. 安全运营岗位职责：
   1、负责安全应急响应中心平台运营，组织和开展运营活动
   2、负责跟进安全漏洞处理和漏洞预警运营，协助业务修复直至漏洞关闭。
   3、负责企业安全宣贯，企业安全培训和考试；
   4、根据安全相关政策和体系认证要求，完善公司的信息安全管理体系制度，并在公司内推行落地。
   岗位要求：
   1、本科及以上学历，信息安全/计算机等相关专业背景
   2、良好的沟通能力和团队协作能力，能不断总结运营中的问题，对现有流程和系统提出优化建议；
   3、较强的文档编写能力，逻辑思维清晰；
   4、性格乐观开朗，内外沟通顺畅；
   5、大型互联网公司安全实习经验优先。
8. 安全运维工程师：岗位职责1、制定企业安全运维制度、流程、计划，参与运维技术平台安全工作，负责企业运维安全体系建设。2、制定企业应急响应计划、流程、方案，并指导实施应急演练。3、负责安全运维实施、运维监控、日志审计、访问控制、安全基线的落地与核查。4、负责响应运维类突发安全事件，网络攻击处置，对安全事件进行紧急响应并出具安全报告，并进行跟进与溯源，入侵检测系统的完善和运营等。5、负责系统环境的漏洞扫描，对网络、系统、数据库的安全风险评估及加固。6、负责对服务器、操作系统、数据库、网络设备等进行安全漏洞扫描及安全配置检查。7、负责公司内运维安全培训，提升公司人员安全意识。岗位要求1、本科及以上学历，有1-2年以上互联网公司安全运维经验优先，1年以上甲方安全公司运维安全工作经验者优先考虑。2、精通常见操作系统和中间件应用的安全加固，包括但不限于 windows ， linux ， nginx ， mysql 等。3、精通常见的安全系统的原理及使用，包括 HIDS ， WAF ， IPS/IDS ， Anti - DDOS ，堡垒机等。4、熟悉路由器、交换机、防火墙、 VPN 、负载均衡、物理主机、
9. 简历接收机：[email protected]