聚焦RSAC2020热点话题：应用安全与DevSecOps

2020年RSA大会将于2月24日至28日在旧金山召开。大会主题为“Human Element”。去年作为RSA大会DevSecOps日的转折点，约有超过800名从业人员参加了为期一天的专题活动。今年，重点则放在从业者如何在组织内部调整并向DevSecOps转型，详细解析了组织所面临阻碍其进步的问题类型，以及如何从公司的各个层面上获得支持帮助等内容展开讨论。

此前，嘶吼在分析参展厂商时发现有绝大多数企业聚焦DevSecOps这一话题，它作为一种为应用程序开发的生命周期引入安全性的设计考虑，最大程度地减少漏洞并使安全性更贴近IT实景和业务目标。就在当地时间2月24日结束的RSAC2020创新沙盒大赛上，十家初创公司中有半数企业聚焦应用安全，可以见得DevSecOps落地已成为大势所趋。

笔者认为 DevSecOps的前提是软件开发生命周期中的每个人都应对安全负责，也就是实质上将操作、开发与安全功能相结合。即安全性嵌入到开发流程中来，它并非将安全性最终固定于IT系统之中，而是通过在DevOps工作流程中嵌入安全控制流程进行安全管理的核心任务。

DevSecOps重要性体现在？

IT基础架构的巨大变化：向动态配置、共享资源和云计算的转变已推动了IT系统演进速度、敏捷性和成本收益等方面，这些都有助于改善应用程序的开发。

在云中部署应用程序的能力提高了规模和速度，向DevOps方法论的迁移和持续交付使得“大爆炸式”应用程序成为过去。尤其，DevOps一直以来将开发和IT运营集成在“单一自动化保护伞下”的原则对所有事情都有所帮助，从更频繁的功能发布调整到增强的应用程序稳定性中来。但是，许多安全性和合规性监视工具无法跟上这种变化的步伐，因为它们并不是为开发代码而开发的，它们无法以DevOps要求的速度进行测试。也就出现了以下观点：安全性是快速开发应用程序以及IT创新性最大障碍。

而人们为了破除这一阻碍，令安全性和IT系统架构更加巧妙的结合，推出了DevSecOps的方法论，改进由安全性带来的矛盾和阻碍。

DevSecOps的时代已然来临

DevSecOps优势：简而言之，它能够缩短实现更高标准的自动化时间长度，进而减少因决策失误带来的风险和一般情况下操作错误导致系统宕机或遭受不同程度攻击等问题。当然，这种自动化还一定程度上减少了安全人员手动配置平台的操作。

随着企业从DevOps逐渐过渡到DevSecOps，我们发现安全性和开发人员领域的出现重叠。在RSAC2020大会上，不论从达美航空公司的“Delta的DevOps转型”的演讲，还是英特尔公司的“开发人员的安全策略和法规趋势”的演讲中，均发现许多会议更多面向的是组织内部如何处理DevSecOps转型，他们面临的困扰、问题，进一步提升并将安全性更好的纳入开发流程的最佳实践中来。

RSAC2020 创新沙盒上应用安全与DevSecOps公司概览：

·BluBracket

关键词：代码安全

公司成立于2019年，BluBracket于上周宣布获得650万美元的投资。其主营代码安全解决方案，第一款产品是BluBracket CodeInsight，它是一种审核工具，目前已发布使用，该工具使公司可以全面了解谁从Git库中撤回了代码；第二个工具BluBracket CodeSecure需到2020年下半年才能使用，它保护代码安全性，囊括了按照分级对代码分类的安全能力，最高级别的代码将具有特殊地位，组织内部可以为其附加规则，如：未经允许不能将其分发到开源文件夹中等。

·ForAllSecure

关键词：下一代代码测试（模糊测试）解决方案

成立于2012年，2016年在DARPA网络大挑战赛中获得第一名；2017年入选《麻省理工科技评论》的50家智慧公司；去年ForAllSecure在New Enterprise Associates的领导下筹集了1500万美元的A轮融资。旗下技术平台Mayhem的下一代模糊测试安全方案，旨在做到“自动识别和修复软件中的安全漏洞”，对当前的威胁作出足够迅速的反应，而模糊测试的本身就是降低测试门槛，有效为组织建立起信任。

ForAllSecure的首席执行官David Brumley博士称“如果组织内安全人员不了解编码基础，要改进的不是令其成为开发人员，而是确保他们明悉软件和计算机是如何深入工作的，进一步提高安全技能。”

·Sqreen

关键词：RASP、WAF

Sqreen此前已经完成了1400万美元的A轮融资，该公司旨在提高Web应用程序和云基础架构的安全性。它的宗旨是不需要组织更改代码或防火墙设置，通过在服务器上安装一个软件包，并添加几行代码以在应用程序中执行调用所需Sqreen模块，更为轻量级的输出安全服务。它的应用程序安全平台可帮助组织保护应用程序，增加可见性，并通过查找关键威胁，修复漏洞将安全性集成到SDLC中来保护代码。其提供了低成本、高水平的RASP+in App WAF解决方案，为实现快速部署、高可扩展性、降低延迟提供了促进作用。

·Tala Security

关键词：WAF

现代化的Web体系结构极大地加快了网站和应用层攻击的速度，例如Magecart、XSS、重定向攻击和基于Web的恶意软件等。Tala Security的主打产品WAF，通过基于AI引擎进行实时分析，解决攻击目标为依赖JavaScript和第三方特权访问等威胁，其平台可抵御最广泛的客户端攻击，并对组织系统的性能影响为零。

·Vulcan Cyber

关键词：SOAR

Vulcan Cyber已于去年9月完成1000万美元A轮融资，截止目前总计融资1400万美元。该公司旨在通过自动化修补程序完成对于漏洞的修复操作。其平台将优先级和部署流程自动化，以更快地修复更多漏洞，有效较低业务运营风险和成本。

Vulcan Cyber可以很好地与所有主要的云平台以及Puppet、Chef和Ansible等工具和GitHub、Bitbucket等工具结合使用，还集成了众多主要的安全测试工具和漏洞扫描程序，其中包括Black Duck、Nessus、Fortify、Tripwire、Checkmarx、Rapid7和Veracode。

总结

尽管CI / CD在不断发展以满足包括容器编排在内的越来越多的软件开发需求，但应用程序中的许多默认设置都需要进行额外的强化以确保安全性。由此，将安全性集成到开发过程中成为必然趋势。组织选择使用更好的DevSecOps工具，确保从构建、部署、程序运行的整个生命安全周期中纳入安全性。随后，可以通过创建良好的DevSecOps文化氛围，搭建位于安全团队和运营团队之间的桥梁，保障开发团队在开发过程中也可以及时确认安全性，该步骤可以通过自动化检测与响应推进。还需要注重的一点是，组织不仅应将DevSecOps纳入IT架构规划中，还应尽可能的从不同角度进行安全测试，以确保正在运行的组织平台的安全性。