集成安全系统

【编者按】作者 Aaron Volkmann 是 CERT Division 高级研究员，通过提出了一种集成安全系统到 CI/CD 的方法，让机构保持快速部署到生产环境能力的同时，也大幅度降低安全隐患，本文系 OneAPM 工程师整理。 DevOps 理念规定软件开发和运维团队之间需要加强沟通和协作，从而在软件开发和交付过程中实现更好的结果。而在这之后，信息安全团队同样应该集成到 DevOps 实践团队中。虽然在持续集成（CI）和持续交付（CD）过程中还未实现完整的自动化软件安全评估，本文主要介绍应如何将 DevOps 理念应用于安全评估，并集成 CI / CD。 及时和可持续 在一个新的软件项目的开发阶段，信息安全团队应该衡量新软件的安全风险，并在整个开发过程中进行安全评估。为确保快速开发和新功能部署，企业必须确保安全评估的频率，既要保证安全风险最小化，同时也要考虑安全团队有限资源的可持续性。 众所周知，自动化是 DevOps 的主要理念之一，但很多在指定应用上进行软件安全性评估的任务仍然是手动执行。出于这个原因，适当的应用安全性评估仍然是持续集成/持续交付开发管道界外。如果一个企业正在进行持续交付，那怎样才能保证部署到生产环境的软件没有安全风险？ 虽然，程序中某些代码的变动，如程序接口（API）终端或更改验证，在迁移到生产之前，需要对此类变动进行手动安全评估