【51CTO.com快譯】2015年Mir Ali加入惠譽評級(Fitch Ratings)時，公司已經(jīng)在熱議改變軟件流程，原因是軟件堆棧不可靠。惠譽評級是一家金融公司，與穆迪和標準普爾同為美國證券交易委員會(SEC)認定的三大全國公認的統(tǒng)計評級機構(gòu)。

現(xiàn)為惠譽共享服務主管的Ali表示，讓一家百年歷史的公司改用DevSecOps(開發(fā)安全運維)并非易事。但再也不能無視存在的問題了。他說，大家基本上不明白出現(xiàn)在生產(chǎn)環(huán)境中的情況。故障太多，無法追根溯源，整條管道上下缺乏合作。事件發(fā)生時，沒有人知道原因，也不知道該怎么做。標準程序就是重啟數(shù)據(jù)庫服務。這在SEC監(jiān)管的公司顯然是不可接受的。

重大挑戰(zhàn)

一個挑戰(zhàn)是普遍缺乏安全知識。另一個挑戰(zhàn)是缺乏合作或?qū)€人的責任缺乏了解。***是自動化不足。

起初，有很多事情要做，很難分清輕重緩急。團隊冷靜下來思考，對于他們想要的內(nèi)容從長計議，而這個愿景為他們隨后的所有決策提供了指導。

他們決定將消除安全缺陷放在首位。剩余的任務分為三個方面。他們希望在整個開發(fā)過程中確保安全，并在整個公司中實現(xiàn)這套流程標準化。***，他們希望盡可能地簡化流程。

Ali表示，簡而言之，DevSecOps擴大了DevOps合作的范圍，包括安全。

devsecops.org聲稱：“DevSecOps的目的和意圖是立足于‘每個人都對安全負責’這個理念，目的是在不犧牲所需安全的情況下，盡快讓***層的人員做出安全決策。”

在整個開發(fā)過程中運用安全

Ali表示，關鍵是將安全整合到DevOps管道中，因而讓安全成為整個軟件開發(fā)過程中不可或缺的一部分。

圖1：惠譽的DevSecOps管道中的安全檢查點

管理團隊一開始在打破整個DevOps管道的孤島時，將安全專家安插到了每個團隊。他說：“讓他們覺得自己是團隊的一員，聽取他們的意見，運用他們的技能。讓這成為自動化的一部分。”安全專家讓你洞察上下文，提供了專業(yè)知識，了解***風險以及我們需要注意什么。安全成了每個人的工作。

接下來，他們部署了安全工具。Ali說：“這不僅僅與工具有關，你還要部署使安全成為可能的工具。”比如說，良好的儀表板以及自動化是關鍵。為了確保持續(xù)交付管道的安全性，適當?shù)脑L問控制、嚴加保護構(gòu)建系統(tǒng)以及統(tǒng)一命名約定是幾個優(yōu)先事項。

他們從容易見效的方面著手。雅虎的數(shù)據(jù)泄露是由于它的系統(tǒng)沒有落實密碼保護機制，因此有人克隆了其數(shù)據(jù)庫。他表示，應該避免這樣的情況。所以***步是，默認任何人都無權訪問。必須授予權限，而且完全基于角色并自動化。

“加密一切”成了新的座右銘。深入了解管道是另一個關鍵方面。Ali建議：“確保日志條目一目了然。”許多日志看起來像亂碼，這在排除故障時毫無助益。

設立安全檢查點

一旦基本的整體安全到位，他們開始為管道設立自動化安全檢查點。他說：“如果系統(tǒng)沒有通過，工程師會關閉系統(tǒng)，說‘稍后我再處理’，但他們永遠不會處理。”通過自動化檢查點，你不給他們這樣的機會。他們使用Gauntlt，這個工具讓用戶可以專門針對安全編寫自動化測試。

圖2：惠譽的DevSecOps管道

Ail加入時，工程師們一直在部署擴展數(shù)據(jù)規(guī)模的解決方案，但是每個團隊獨立工作，因此部署了各種各樣的解決方案，工程師們給出了一大堆不同的選擇。一段時間后，工程師們?yōu)楣艿赖拿總€部分選擇了滿足要求的***解決方案，并使其成為標準。

與PagerDuty自己的DevOps轉(zhuǎn)型相似，這個項目耗時大概三年。

DevSecOps的誤區(qū)

Ali表示，DevSecOps方面有幾個誤區(qū)需要揭穿。***個誤區(qū)是，如果你實現(xiàn)安全自動化，就放棄了控制。事實上，這讓貴公司更加合規(guī)。自動化提供了一致性和可追溯性。

下一個誤區(qū)是，只要添加安全工具即可打造DevSecOps。關鍵不是添加新工具，也不是增加更多的開發(fā)人員。他表示，DevSecOps不是一種能力，而是一種理念。“可以借助已有的開發(fā)人員輕松做這項工作。”讓安全成為他們工作的一部分，成為績效評估的一部分。

從哪兒開始?

仍然不知所措?答案是從小處入手。Ali先從電子郵件集成入手，慢慢地添加了工具，開始打破孤島，改變期望目標。電子郵件集成完成后，該公司開始使用PagerDuty的警報服務，這促使公司集成了Atlassian的Jira錯誤跟蹤系統(tǒng)，整條管道集中起來，擁有日志和智能監(jiān)控功能。

三年后的今天，他們在故障發(fā)生之前就能發(fā)現(xiàn)隱患。

開發(fā)人員面臨的***挑戰(zhàn)

你要站在開發(fā)人員的角度來考慮。如果你告訴他們，你要自動化，要使用DevOps工具，現(xiàn)在說‘還要融入安全’，那么從他們的角度來看，突然之間有三份工作，而不是只有一份工作。

Ali說：“有鑒于此，我會討厭那樣的工作。”于是他加入公司，積極提供指導和支持。他告訴團隊，他們要提供培訓、工具和框架，并支持開發(fā)人員的工作。

看到大部分工作已完成，開發(fā)團隊意識到他們不得不充分利用自動化。現(xiàn)在，沒人簽入代碼，每個人都很自然地完成工作。部署不再是個問題。

他說：“仍然存在挑戰(zhàn)，但我們已經(jīng)為他們開始采用DevSecOps開辟了一條道路。”

***提示

他說：“你要意識到你把數(shù)據(jù)放在哪里，弄清楚里面有什么數(shù)據(jù)，如何檢查數(shù)據(jù)，誰與數(shù)據(jù)交互以及數(shù)據(jù)如何受到保護。”

“除非你提出這些問題，否則你的應用程序和數(shù)據(jù)是不安全的。”

原文標題：100-Year-Old Fitch Ratings Upgrades to DevSecOps，作者：TC Currie

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】