與利益相關方的密切溝通、廣泛的測試外加強大的自動化功能,使作為軍事情報機構的國家安全局受益匪淺。
對于高度關注安全的企業而言,特別是希望在快速開發的過程中(例如推行DevOps等敏捷框架)保障安全的企業,美國國家安全局(NSA)給出了一條重要“指示”:多測試,慢一點,只有穩扎穩打,開發人員才會真正迸發出能量。
國安局DevX團隊的DevOps管道技術負責人Eric Mosher在上周虛擬GitLab Commit大會上分享,從2018年開始,國安局啟動了全新項目,旨在為內部開發人員提供更好的開發環境支持,合并多個源代碼庫實例。雖然作為秘密政府機構,國安局必須在大型隔離網絡內工作,但其DevX團隊仍然立足AWS開發出“高度可用、具備彈性且可擴展的業務架構”。Mosher表示,“AWS架構”幫助他們在安全環境中實現了軟件的快速開發。
國安局的源代碼庫最初是在2013年通過代碼安裝完成,2018年被棄用,取而代之的是用于改善開發人員工作體驗的DevX項目。DevX團隊對原有環境進行了全面的重新設計,希望在保障安全要求的前提下,盡可能將自定義配置控制在最低水平。Mosher解釋道,以往即使經歷無數次測試運行,開發人員仍會遇到各式各樣的問題。
他指出,“我們不知道該選擇哪種正確的測試方式,國安局明顯需要更智能、自動化程度更高的解決方案。在升級之后,我們引入了更多自動化測試手段……同時也讓自動化與智能化得以融合。”
Mosher表示,最終,DevX項目引入了全面支持DevOps的業務管道,在幫助政府開發人員快速構建功能的同時,繼續嚴格遵循國安局運營條例中提出的安全要求。
他提到,“對我來說,真正重要的任務就是把開發人員們服務好,讓他們切實體會到我們為他們賦予的權利與達成使命的能力。”
國安局還與其他多家企業攜手推動將DevOps與安全性相結合的DevSecOps倡議,各方也在過去一年中體會到由此帶來的重大助益。Forrester 研究公司副總裁兼研究總監Amy DeMartine在本屆虛擬大會上表示,開發人員得以有效衡量其代碼質量并獲得來自客戶有效的反饋,這兩項指標也為安全保障提供了有力支持。
Amy 提到,“開發人員最關心的是什么?事實上,他們的評估方法與安全團隊的評估思路截然不同。但考慮到雙方所關注的內容、評估方法以及獲得成功的具體方式時,我們意識到安全性其實是雙方共同的訴求。”
在商業競爭推動企業快速發展的同時,網絡安全的殘酷現實也讓眾多組織被迫在開發流程中更多考慮到安全檢查的重要意義。例如,根據Forrester方面的報告,2019年有三分之一企業承受違規帶來的后果,而在外部攻擊事件中造成違規的主要原因包括40%的軟件漏洞以及37%的Web應用程序漏洞。
面對這一難題,自動化既能夠加快開發速度,又可以提高安全性水平。根據調查,在未來12個月內,開發人員的首要任務包括更多基于云的開發環境并更好地滿足組織自身的業務需求,而自動化也成為未來十大優先事項之一。開發人員希望提高安全開發生命周期的自動化程度、加快發布速度與部署周期,同時計劃運用更多開源軟件成果以縮短開發時長。
根據Forrester的調查結果顯示,38%的開發人員以每月一次甚至更高的頻率發布軟件成果,這一比例高于2018年調查中的27%。
Amy 解釋道,自動化技術在安全領域的效果甚至比助力開發本身還要更強一些。據統計每天對應用程序進行自動掃描的企業(每年300次或以上),其安全漏洞修復速度要比每年掃描少于3次的企業快11.5倍。
Amy 表示,“企業顯然正在努力加快產品發布速度,希望更全面地將自身優勢呈現在客戶面前。”
Forrester還建議各類組織機構應實施靜態應用程序安全測試(SAST)、動態應用程序安全測試(DAST)以及軟件組成分析(SCA)等方案。截至目前,只有三分之一的企業在開發階段實施靜態應用程序安全測試,相比之下決定在開發與測試階段中實施動態應用程序安全測試的企業占比更高,分別為34%與43%。交互水平更高的應用程序安全測試(IAST)的接受度還要更高一些。
據Forrester總結,包括管理及檢查開源組件安全性在內的軟件組成分析類方案,同樣保持著旺盛的發展勢頭。目前已經有37%的企業計劃將該功能添加到開發流程內,占已在采用此類方案的企業的31%。
最后,國安局還廣泛采用自動化技術以促進并提高自身基礎設施的可靠性水平。國安局方面使用Terraform進行云基礎設施自動化,使用Ansible進行構建自動化,并使用GitLab推動持續集成與持續部署。Mosher強調稱,在這套立足云端構建而成的大型基礎設施當中,只有兩款應用程序為針對國安局特殊需求定制開發。
他總結道,“正因為如此,我們能夠迅速行動,清退以往令人頭痛不已的大量定制化工作。現在,云平臺提供的定制化選項已經非常穩定,而且擁有良好的集成效果。”