前言

在擔任現場工程師與顧問的第三年，許多企業與組織開始詢問 什麼是 DevSecOps 是什麼? 依據過往經驗，大多數團隊認為在 Pipeline 內導入安全掃描即為 DevSecOps (尤其是政府機關)，但這個答案不完全正確。另外，也有遇過倒入大量安全掃描與規範(尤其是金融機構)，導致原有 DevOps 遇到非常多不必要阻礙。另外完全沒有 DevSecOps 觀念的團隊 (尤其是傳統產業與製造業)，通常都在交付前拼命修弱點，付出非常大的成本而不自知。

威脅模型分析非常重要，沒有威脅模型分析的安全防護多數都是人云己云。

什麼是 DevSecOps

DevSecOps 顧名思義為結合開發、維運與安全，為 DevOps 後續的的延伸，想要透過及早發現安全問題並修復，縮短軟體交付時間；另一方面，透過自動化安全測試以降低人為失誤，及時且準確地解決問題，避免成為交付時的瓶頸。 DevSecOps 實務工作大致如下：

• 自動、透明地將 安全檢查和控制 應用到 DevOps Pipeline
• 降低開發、交付影響執行的安全措施
• Shift-left (左移)策略，提前在建構、發佈期間進行相關安全措施
• 持續學習與回饋，讓資訊安全更加完備

其中常常被遺忘的兩個觀念在於 導入 DevSecOps 並非拖累交付速度與學習回饋。許多團隊以為加入非常的多安全掃描即為 DevSecOps，最終導致交付速度越來越慢、DevOps 團隊士氣低落的問題發生。事實上與既有 DevOps 流程相同，必須不斷評估並改善流程，合適且降低開發交付影響的安全措施才是正確準則。另一方面，越早將 Security 觀念內化至開發維運團隊，才能從一開始即開發出符合安全標準的應用程式與建立出安全部署流程。
 
 

DevOps 實踐要面對的安全挑戰

許多企業在長官支持情況下，進行數位轉型速度非常快，但如果有初步成果後才導入 DevSecOps 過程中，DevOps 團隊反彈會非常大。主要原因在於多數的 DevOps 導入前期時沒有正確概述如何實踐資安，以至於後續資安導入工作讓團隊無所適從。DevOps 實踐要面對的安全挑戰如下：

• 通常 DevOps 導入的時候強調交付而非資訊安全
• 一般 DevOps 實踐本身並不支援應用程式安全概念
• 傳統的自動化測試不關注安全測試
• DevOps 團隊可能缺乏安全知識
• 普遍使用開源程式庫而不使用軟體構成分析工具

DevSecOps Best Practices

左移

安全測試應該儘早整合到軟體開發過程中，而不是在最後才進行。許多團隊的一個疑問是：為什麼要左移，主要原因在於部署是軟體開發過程中成本最高的階段，如果團隊僅在交付階段執行安全檢查和控制，則會遇到增加成本
、無法交付或交付不穩定的軟體。比較常見的左移實作方式為開發階透過IDE發現並解決資訊安全問題 與 掃描建置階段在程式碼離開工程師之前發現威脅並修復它。

對開發人員進行安全軟體開發訓練

依據過往經驗，除了經驗豐富的工程師外，團隊內多數開發人員通常不知道他們正在以一種不安全的方式進行程式開發。安全軟體開發課程相當少，團隊內很也很會分享與傳授，因為這不是開發團隊的優先事項 (至少我經歷了 20 多間企業現場工程師與顧問經驗中，沒有任何團隊有此優先目標)。DevSecOps 主要重點在讓開發團隊知道如何撰寫安全的程式碼，在程式碼離開自己前知道威脅並修復，並從此學得經驗。

檢查套件/程式碼相依性

檢查程式碼相依性是 DevSecOps 的基本。多數的團隊成員在開發過程中其實並不理解自己用了哪些套件與其可能的漏洞，主要關注在如何完成功能已達成任務。產品調整套件與程式碼有時候對於開發團隊來說是場災難，若能盡早知道那些套件有問題並得知解決方法，可以大幅降低開發維運成本。如 GitHub 可以啟用 Dependabot，它透過使用安全性更新提出 Pull Request 來修復容易易受攻擊的相依性套件；OWASP Dependency 可以幫助確保開發者不會使用存在已知漏洞的套件與程式碼。