與利益相關(guān)方的密切溝通、廣泛的測試外加強大的自動化功能，使作為軍事情報機構(gòu)的國家安全局受益匪淺。

　　對于高度關(guān)注安全的企業(yè)而言，特別是希望在快速開發(fā)的過程中（例如推行DevOps等敏捷框架）保障安全的企業(yè)，美國國家安全局（NSA）給出了一條重要“指示”：多測試，慢一點，只有穩(wěn)扎穩(wěn)打，開發(fā)人員才會真正迸發(fā)出能量。

　　國安局DevX團隊的DevOps管道技術(shù)負(fù)責(zé)人Eric Mosher在上周虛擬GitLab Commit大會上分享，從2018年開始，國安局啟動了全新項目，旨在為內(nèi)部開發(fā)人員提供更好的開發(fā)環(huán)境支持，合并多個源代碼庫實例。雖然作為秘密政府機構(gòu)，國安局必須在大型隔離網(wǎng)絡(luò)內(nèi)工作，但其DevX團隊仍然立足AWS開發(fā)出“高度可用、具備彈性且可擴展的業(yè)務(wù)架構(gòu)”。Mosher表示，“AWS架構(gòu)”幫助他們在安全環(huán)境中實現(xiàn)了軟件的快速開發(fā)。

　　國安局的源代碼庫最初是在2013年通過代碼安裝完成，2018年被棄用，取而代之的是用于改善開發(fā)人員工作體驗的DevX項目。DevX團隊對原有環(huán)境進行了全面的重新設(shè)計，希望在保障安全要求的前提下，盡可能將自定義配置控制在最低水平。Mosher解釋道，以往即使經(jīng)歷無數(shù)次測試運行，開發(fā)人員仍會遇到各式各樣的問題。

　　他指出，“我們不知道該選擇哪種正確的測試方式，國安局明顯需要更智能、自動化程度更高的解決方案。在升級之后，我們引入了更多自動化測試手段……同時也讓自動化與智能化得以融合。”

　　Mosher表示，最終，DevX項目引入了全面支持DevOps的業(yè)務(wù)管道，在幫助政府開發(fā)人員快速構(gòu)建功能的同時，繼續(xù)嚴(yán)格遵循國安局運營條例中提出的安全要求。

　　他提到，“對我來說，真正重要的任務(wù)就是把開發(fā)人員們服務(wù)好，讓他們切實體會到我們?yōu)樗麄冑x予的權(quán)利與達成使命的能力?！?/p>

　　國安局還與其他多家企業(yè)攜手推動將DevOps與安全性相結(jié)合的DevSecOps倡議，各方也在過去一年中體會到由此帶來的重大助益。Forrester 研究公司副總裁兼研究總監(jiān)Amy DeMartine在本屆虛擬大會上表示，開發(fā)人員得以有效衡量其代碼質(zhì)量并獲得來自客戶有效的反饋，這兩項指標(biāo)也為安全保障提供了有力支持。

　　Amy 提到，“開發(fā)人員最關(guān)心的是什么？事實上，他們的評估方法與安全團隊的評估思路截然不同。但考慮到雙方所關(guān)注的內(nèi)容、評估方法以及獲得成功的具體方式時，我們意識到安全性其實是雙方共同的訴求。”

　　在商業(yè)競爭推動企業(yè)快速發(fā)展的同時，網(wǎng)絡(luò)安全的殘酷現(xiàn)實也讓眾多組織被迫在開發(fā)流程中更多考慮到安全檢查的重要意義。例如，根據(jù)Forrester方面的報告，2019年有三分之一企業(yè)承受違規(guī)帶來的后果，而在外部攻擊事件中造成違規(guī)的主要原因包括40%的軟件漏洞以及37%的Web應(yīng)用程序漏洞。

　　面對這一難題，自動化既能夠加快開發(fā)速度，又可以提高安全性水平。根據(jù)調(diào)查，在未來12個月內(nèi)，開發(fā)人員的首要任務(wù)包括更多基于云的開發(fā)環(huán)境并更好地滿足組織自身的業(yè)務(wù)需求，而自動化也成為未來十大優(yōu)先事項之一。開發(fā)人員希望提高安全開發(fā)生命周期的自動化程度、加快發(fā)布速度與部署周期，同時計劃運用更多開源軟件成果以縮短開發(fā)時長。

　　根據(jù)Forrester的調(diào)查結(jié)果顯示，38%的開發(fā)人員以每月一次甚至更高的頻率發(fā)布軟件成果，這一比例高于2018年調(diào)查中的27%。

　　Amy 解釋道，自動化技術(shù)在安全領(lǐng)域的效果甚至比助力開發(fā)本身還要更強一些。據(jù)統(tǒng)計每天對應(yīng)用程序進行自動掃描的企業(yè)（每年300次或以上），其安全漏洞修復(fù)速度要比每年掃描少于3次的企業(yè)快11.5倍。

　　Amy 表示，“企業(yè)顯然正在努力加快產(chǎn)品發(fā)布速度，希望更全面地將自身優(yōu)勢呈現(xiàn)在客戶面前?！?/p>

　　Forrester還建議各類組織機構(gòu)應(yīng)實施靜態(tài)應(yīng)用程序安全測試（SAST）、動態(tài)應(yīng)用程序安全測試（DAST）以及軟件組成分析（SCA）等方案。截至目前，只有三分之一的企業(yè)在開發(fā)階段實施靜態(tài)應(yīng)用程序安全測試，相比之下決定在開發(fā)與測試階段中實施動態(tài)應(yīng)用程序安全測試的企業(yè)占比更高，分別為34%與43%。交互水平更高的應(yīng)用程序安全測試（IAST）的接受度還要更高一些。

　　據(jù)Forrester總結(jié)，包括管理及檢查開源組件安全性在內(nèi)的軟件組成分析類方案，同樣保持著旺盛的發(fā)展勢頭。目前已經(jīng)有37%的企業(yè)計劃將該功能添加到開發(fā)流程內(nèi)，占已在采用此類方案的企業(yè)的31%。

　　最后，國安局還廣泛采用自動化技術(shù)以促進并提高自身基礎(chǔ)設(shè)施的可靠性水平。國安局方面使用Terraform進行云基礎(chǔ)設(shè)施自動化，使用Ansible進行構(gòu)建自動化，并使用GitLab推動持續(xù)集成與持續(xù)部署。Mosher強調(diào)稱，在這套立足云端構(gòu)建而成的大型基礎(chǔ)設(shè)施當(dāng)中，只有兩款應(yīng)用程序為針對國安局特殊需求定制開發(fā)。

　　他總結(jié)道，“正因為如此，我們能夠迅速行動，清退以往令人頭痛不已的大量定制化工作?，F(xiàn)在，云平臺提供的定制化選項已經(jīng)非常穩(wěn)定，而且擁有良好的集成效果?！?/p>