資料來源:https://secview.io/posts/6-devsecops/ DevSecOps 方法論與理念 2019.6.18 我個人其實蠻高興 DevSecOps 開始被關注,越來越多開發者和企業重視資安。但 DevSecOps 中的這個「Sec」其實不好實踐,背後連結到非常多東西。 這也是我會想來寫 DevSecOps 的原因,雖然無法一篇文章就寫完,但就一起慢聊 DevSecOps 裡面所含的大千世界。 如果你說 DevOps 拆開來會是開發(Development)、維運(Operations)和品質保證(Quality Assurance),那 DevSecOps 就是在這三者都加上資安。從程式碼安全、基礎建設(Infrastructure)、雲端服務、部署環境都考慮到資安,當然包含「人」也是。 儘管看起來不容易,至少我們相信持續發展 DevSecOps 會讓企業帶來好處:「讓資安跟上開發速度、並且讓產品更安全」。 今天這篇是一篇概覽,來跟大家分享 DevSecOps 的做法和挑戰。 DevSecOps 的定義 單純表述的話其實就是「在你所認為的 DevOps 中導入 Security」。 我曾經嘗試去問人什麼是 DevOps,雖然每個人都給我不同的答案,但 DevOps 有幾個特點是大家一致認同的:「敏捷和自動化」,也有人會再提到這是一個「文化」。我覺得 DevSecOps,其實就是在這樣 DevOps 的敏捷、自動化、文化下, 讓大家都有權力和責任來實踐資安 。 而且資安是被內化的,而不再像傳統方式只是一個外掛模組後續加上這個資安功能。像是門匠已經不是先做好門板然後在外面加釘一個栓頭,而是把門和鎖一起考慮設計並且實作。 資安風險 有體驗過 DevOps 的人會知道,開發速度不一定會跟安全性成正比,可能還會成反比。而潛在資安風險就跟技術債一樣,慢慢累積最後一次爆發。 就以企業角度來說一定會有資安風險,只是你選擇忽略它、或是控制它。 例如對大公司來說,有價值的東西通常是那些「被洩漏出來的話」會很難善後的、或是主管會被釘在牆上的那些機密和 Know-How。對小公司或新創來說,客戶資料外洩(失去客戶信用)、MVP 核心價值和功能原始碼洩漏會是潛在資安風險。 為什麼會需要 DevSecOps 但敏捷開發下,生存都來不及了怎麼顧資安? 且就算新