[[422373]]

如今，在DevOps當中建立安全體系顯得比以往任何時候都更加重要?！?021年企業DevOps技能提升報告》指出，56%的受訪者表示DevSecOps已經成為自動化工具中的一大必備要素。然而，DevSecOps方法不只是簡單添加安全工具與實踐，與任何其他DevOps方法一樣，其中也離不開文化、流程與技術。

如果不能以戰略性方式在企業當中實施DevSecOps，則很容易出現安全障礙或問題。而明智的選擇，則有望幫助我們從起步階段就回避掉這些潛在陷阱。在本文中，我們邀請多位行業專家分享自己的真知灼見，下面來看他們總結出的八個DevSecOps“大坑”：

1. 急功近利，總想要一蹴而就

“實現目標的關鍵，在于分多個步驟從小處入手。最好是以試點項目為起點，確定一支負責實施DevSecOps管道與流程的項目兼跨職能團隊(涵蓋應用開發、運營、安全等)。此外，還應確定目標、使用案例并為迭代工作做好準備。如果團隊運作良好，請記錄實施過程與結果，并據此確定商業價值，例如更快的上市時間或者預先解決安全問題的能力。”——Kirsten Newcomer，紅帽公司云安全戰略總監

2. 將掃描工具添加至CI/CD(持續集成/持續交付)管道當中，但卻沒能充分運用掃描結果

“為了掃描而掃描，往往只會帶來一種虛假的安全感并引發大量噪聲。最重要的應該是考慮如何將安全掃描中發現的問題，切實轉化為可操作的補救行動。”Rob Cuddy，HCL Technologies公司全球應用程序安全布道師

3. 避免文化包袱

“團隊在十多年前開始實施DevOps時，首先需要確立的就是文化定位。DevOps從本質上強調的是協作、同理心與創新。未能正確理解文化的團隊，將很難完成應用程序的構建、測試、持續部署與運行。DevSecOps的情況也是一樣，團隊只會有更多的文化包袱需要解決。開發人員與安全人員長期以來總是關注著不同的目標，導致雙方產生嚴重分歧。開發者更關注產品開發速度，安全部門則重視如何降低風險。“

“事實是，安全性只是代碼質量的另一部分，交付高質量代碼符合所有團隊的基本利益。誰能圍繞這一點達成團結并建立起相應文化，誰就會獲得茁壯成長的良好態勢。而那些專注于戰術實施、但卻忽略掉文化研究及相關挑戰的團隊，則一定會身陷困境。”——Joni Klippert，StackHawk公司聯合創始人兼CEO

4. 不理解工具，投入過快，擾亂既有工程流程

“為了確保更高的成功率，最好緩慢地每次引入一種安全控制，并確保結果對團隊確有價值。持續監控并改進安全流程，最大程度減少業務中斷。其中包括評估結果、調節掃描工具并盡可能減少指向工程團隊的誤報。如果無法完成這種文化轉變，則DevSecOps大概率會陷入失敗。”

“左移的意義，是在軟件項目開發或產品啟動之初，就保證將一切角色和職責清晰簡明地委派給每一位參與者。將DevSecOps和安全帶入人們已經熟悉的工作體系當中。把工程師們已經在使用的工具與安全流程融合得越好，起步階段就會越簡單。”——Dheeraj Nayal，DevOps研究院全球社區大使兼亞太、中東與非洲區域負責人

5. 未能得到高層領導認同

“與DevOps類似，DevSecOps的本質并不是團隊或者角色，而是一種文化。不解決文化方面的問題，單是在現有團隊/流程中添加一個安全/DevSecOps工程師角色，并不足以達到與預期相符的回報。而文化通常源自高層，因此要建立正確的文化體系，必須保證高層領導團隊支持DevSecOps。”——David Slater，Tasktop公司云產品價值流負責人

6. 將自動化安全檢查引入交付管道，但未能考慮到反饋循環

“在處理較為陳舊的代碼庫時，企業可能已經識別出大量缺陷。但「為每個缺陷創建一個Jira工單」的默認響應方式無法解決問題。另一種常見的陷阱則是低估了采取新方法所需要的時間。要使DevSecOps取得成功，必須要讓交付團隊親自參與解決方案構建。”——Peter Maddison，Xodiac公司創始人

7. 對安全集成不加反思

“也就是在未經認真討論的情況下匆忙引入某種工具或者流程。團隊實施了變更，但并沒有對變更本身的含義進行協同探索。安全不應該是一種硬性叫停的機制;相反，更有意義的思考應該是「新的集成元素是否會引入新的風險?」”

“在運維方面，這樣的討論也同樣適用：如果發現安全漏洞，我們該先做點什么來遏止住問題，又該怎樣避免未來發生類似的問題?與DevOps領域的陷阱一樣，只要發現有「坑」，人們應該通過回溯確定更多未來可以改進的地方。”——Mark Peters，Novetta公司技術負責人

8. 一旦工件通過DevSecOps的審查，即授予100%的安全信任

“DevSecOps不是終點，而是一段持續而漫長的旅程。只要能時刻認清這一現實，我們就不會落入DevSecOps的泥潭。”——Sharath Dodda，TD公司IT開發經理