應用敏捷與安全如何兼存？| IDCF

敏捷與安全似乎矛盾，但如何兼存？

起初，企業(yè)以傳統(tǒng)的瀑布式研發(fā)模式把軟件開發(fā)過程劃分為需求、分析、設計、開發(fā)、測試等不同的流程。這些流程有著嚴格的先后次序之分，只有當前面的流程結束之后，下一個流程才能開始運轉(zhuǎn)。這種開發(fā)方式好似瀑布的下落，由此命名為瀑布模型。

但隨著業(yè)務的發(fā)展，研發(fā)模式也在發(fā)生了不斷地演進，傳統(tǒng)基于階段的瀑布研發(fā)過程，導致開發(fā)對于迅速變化的業(yè)務響應嚴重滯后，為此業(yè)界倡導通過敏捷的方式，快速迭代，小步快跑，持續(xù)集成，主動擁抱變化。

敏捷開發(fā)以用戶的需求進化為核心，采用迭代、循序漸進的方法進行軟件開發(fā)。把一個大項目分為多個相互聯(lián)系，但也可獨立運行的小項目，并分別完成，在此過程中軟件一直處于可使用狀態(tài)。

如今，隨著移動互聯(lián)網(wǎng)的迅速發(fā)展，應用從需求到上線的TTM（Time to market）越來越短，普遍存在的開發(fā)和運維的“混亂之墻”成為了斷裂點，為此業(yè)界開始提倡DevOps的協(xié)作模式，敏捷精益的理念進一步延伸到運維側。同時，隨著云原生基礎設施的建立和CICD技術的發(fā)展，DevOps已廣泛得應用到各個企業(yè)。

從“應用敏捷”到“應用敏捷+安全”

但是隨著數(shù)字化席卷各行各業(yè)，應用進入了我們生活的方方面面：人與人的互聯(lián)、物與物的互聯(lián)、人與物的互聯(lián)正在成為現(xiàn)實，應用對于人和社會的安全威脅也逐日提升。

由于應用的安全防護和安全意識還普遍滯后，為此以Built-In Security和自動化為基本理念的DevSecOps開始得到重視。DevSecOps的理念在將安全融入敏捷過程中，即通過設計一系列可集成的控制措施，增大監(jiān)測、跟蹤和分析的力度，優(yōu)化安全實踐，集成到開發(fā)和運營的各項工作中，并將安全能力賦給各個團隊，同時保持“敏捷”和 “協(xié)作”的初衷。在這一理念中，企業(yè)的整個IT團隊目標統(tǒng)一，即在保障敏捷開發(fā)的基礎上，共同背負起安全的責任。

DevSecOps引入自動化安全

DevSecOps實際上是DevOps的延續(xù)和演進。云原生技術加持下的DevOps使得應用開發(fā)和上線周期越來越短，傳統(tǒng)的安全團隊上線前介入的模式已經(jīng)嚴重滯后，不僅不能有效地進行系統(tǒng)的安全防護，而且也會影響應用的交付速度。

DevSecOps的最關鍵理念就是強調(diào)在應用的全生命周期都內(nèi)嵌安全，同時提出安全的檢測和防護做到盡可能的自動化，將自動化融入安全，實現(xiàn)了質(zhì)量、安全和速度的最佳平衡。安全應盡可能做到全場景，從基礎設施、代碼、鏡像、到架構，同時需要做到覆蓋應用的全生命周期，從開發(fā)態(tài)、運行態(tài)直至運維態(tài)。

DevSecOps需要安全工具自動化以及平臺化

在傳統(tǒng)的研發(fā)過程中，研發(fā)與安全割裂，主要是因為安全影響研發(fā)效率，但自動化的安全工具可以適用當前的敏捷開發(fā)需求。基于安全與DevSecOps的強烈訴求，華為云正在逐步的將華為20年來深耕安全的能力通過云服務的形式外溢，讓更多的企業(yè)能共享華為對于安全的先進理念和技術實踐，華為云通過讓在DevOps的每個環(huán)節(jié)都通過規(guī)范、方法論和自動化的安全服務，來實現(xiàn)DevSecOps的理念，如在創(chuàng)建應用階段安全框架和編碼規(guī)范，嵌入IDE插件的代碼檢查等。下面我們詳細逐一來看華為云所實現(xiàn)的安全工具自動化以及平臺化。

平臺化：全流程云原生DevSecOps平臺

華為云提供云原生DevOps平臺：華為云DevCloud軟件開發(fā)平臺。華為云DevCloud在業(yè)界具有較高的影響力，得到了專業(yè)咨詢機構和客戶的官方認可，在全流程、支持的技術棧與安全可信角度有較強的競爭力，華為云DevCloud為客戶提供了從需求/規(guī)劃到運維的多個服務。

自動化工具與安全無縫連接

代碼托管服務是DevCloud為客戶提供的穩(wěn)定、安全的代碼管理服務，該服務同時也支持了華為內(nèi)部1100億行的代碼管理，多個安全可信的措施，多倉協(xié)同和高并發(fā)。代碼分析和代碼檢查服務，也是華為自主研發(fā)的代碼靜態(tài)檢查服務，沉淀了華為多年的高質(zhì)量代碼檢查規(guī)則集，支持的語言多，標準多，同時提供了自動化輔助缺陷修復的特性。

代碼構建服務，為客戶提供了配置及代碼的構建服務，支持豐富的構建語言和框架，同時通過多種技術實現(xiàn)10倍+的構建加速，并提供封閉的構建環(huán)境，保證構建階段的可信安全。云測服務，為客戶大規(guī)模、高并發(fā)、全流程的智能測試服務，提供測試管理、性能測試、API測試、移動測試等多種專業(yè)測試服務，并通過測試設計的智能化，測試執(zhí)行的智能化和測試分析的智能化，提升測試的效率和攔截問題的比例。

同時，華為云在DevOps的基礎上，陸續(xù)增加安全設計、安全合規(guī)、安全檢查和安全防護的專業(yè)服務，通過服務化的接口和華為云DevCloud進行深度集成。同時，在已有的運行、運維安全的基礎上，進一步全方面的加強網(wǎng)絡安全、數(shù)據(jù)安全、應用安全與數(shù)據(jù)庫安全，讓云原生的應用生得安全，活得安全。

而對于企業(yè)如何更好的實施DevSecOps，我們有以下幾個實踐：

• 安全可信應該是每個人的責任，而不僅僅只是安全團隊關心的事情。
• 重視架構解耦，架構解耦，低依賴，安全風險和影響范圍更可控。
• 重視自動化和知識協(xié)同，不斷提升效率，通過知識分享，組織和個人持續(xù)改進。
• 努力打造全功能團隊，團隊自治，破除部門墻，對商業(yè)和用戶負責。

安全可信+高效敏捷

從概念提出到現(xiàn)在，云原生所帶來的敏捷、開放、標準化、輕量、松耦合與靈活的優(yōu)勢是企業(yè)數(shù)字化轉(zhuǎn)型升級的基礎必選項。面對日益嚴峻的安全威脅和安全影響，云原生加持下的DevSecOps理念和實踐，將安全自動化內(nèi)嵌到應用的全生命周期，在保證安全可信的同時，也依然能夠發(fā)揮云原生所帶來的高效與敏捷。

?了解更多可點擊“閱讀原文”進入華為云官網(wǎng)