與利益相關(guān)方的密切溝通、廣泛的測(cè)試外加強(qiáng)大的自動(dòng)化功能，使作為軍事情報(bào)機(jī)構(gòu)的國(guó)家安全局受益匪淺。

　　對(duì)于高度關(guān)注安全的企業(yè)而言，特別是希望在快速開(kāi)發(fā)的過(guò)程中（例如推行DevOps等敏捷框架）保障安全的企業(yè)，美國(guó)國(guó)家安全局（NSA）給出了一條重要“指示”：多測(cè)試，慢一點(diǎn)，只有穩(wěn)扎穩(wěn)打，開(kāi)發(fā)人員才會(huì)真正迸發(fā)出能量。

　　國(guó)安局DevX團(tuán)隊(duì)的DevOps管道技術(shù)負(fù)責(zé)人Eric Mosher在上周虛擬GitLab Commit大會(huì)上分享，從2018年開(kāi)始，國(guó)安局啟動(dòng)了全新項(xiàng)目，旨在為內(nèi)部開(kāi)發(fā)人員提供更好的開(kāi)發(fā)環(huán)境支持，合并多個(gè)源代碼庫(kù)實(shí)例。雖然作為秘密政府機(jī)構(gòu)，國(guó)安局必須在大型隔離網(wǎng)絡(luò)內(nèi)工作，但其DevX團(tuán)隊(duì)仍然立足AWS開(kāi)發(fā)出“高度可用、具備彈性且可擴(kuò)展的業(yè)務(wù)架構(gòu)”。Mosher表示，“AWS架構(gòu)”幫助他們?cè)诎踩h(huán)境中實(shí)現(xiàn)了軟件的快速開(kāi)發(fā)。

　　國(guó)安局的源代碼庫(kù)最初是在2013年通過(guò)代碼安裝完成，2018年被棄用，取而代之的是用于改善開(kāi)發(fā)人員工作體驗(yàn)的DevX項(xiàng)目。DevX團(tuán)隊(duì)對(duì)原有環(huán)境進(jìn)行了全面的重新設(shè)計(jì)，希望在保障安全要求的前提下，盡可能將自定義配置控制在最低水平。Mosher解釋道，以往即使經(jīng)歷無(wú)數(shù)次測(cè)試運(yùn)行，開(kāi)發(fā)人員仍會(huì)遇到各式各樣的問(wèn)題。

　　他指出，“我們不知道該選擇哪種正確的測(cè)試方式，國(guó)安局明顯需要更智能、自動(dòng)化程度更高的解決方案。在升級(jí)之后，我們引入了更多自動(dòng)化測(cè)試手段……同時(shí)也讓自動(dòng)化與智能化得以融合?！?/p>

　　Mosher表示，最終，DevX項(xiàng)目引入了全面支持DevOps的業(yè)務(wù)管道，在幫助政府開(kāi)發(fā)人員快速構(gòu)建功能的同時(shí)，繼續(xù)嚴(yán)格遵循國(guó)安局運(yùn)營(yíng)條例中提出的安全要求。

　　他提到，“對(duì)我來(lái)說(shuō)，真正重要的任務(wù)就是把開(kāi)發(fā)人員們服務(wù)好，讓他們切實(shí)體會(huì)到我們?yōu)樗麄冑x予的權(quán)利與達(dá)成使命的能力。”

　　國(guó)安局還與其他多家企業(yè)攜手推動(dòng)將DevOps與安全性相結(jié)合的DevSecOps倡議，各方也在過(guò)去一年中體會(huì)到由此帶來(lái)的重大助益。Forrester 研究公司副總裁兼研究總監(jiān)Amy DeMartine在本屆虛擬大會(huì)上表示，開(kāi)發(fā)人員得以有效衡量其代碼質(zhì)量并獲得來(lái)自客戶(hù)有效的反饋，這兩項(xiàng)指標(biāo)也為安全保障提供了有力支持。

　　Amy 提到，“開(kāi)發(fā)人員最關(guān)心的是什么？事實(shí)上，他們的評(píng)估方法與安全團(tuán)隊(duì)的評(píng)估思路截然不同。但考慮到雙方所關(guān)注的內(nèi)容、評(píng)估方法以及獲得成功的具體方式時(shí)，我們意識(shí)到安全性其實(shí)是雙方共同的訴求?！?/p>

　　在商業(yè)競(jìng)爭(zhēng)推動(dòng)企業(yè)快速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全的殘酷現(xiàn)實(shí)也讓眾多組織被迫在開(kāi)發(fā)流程中更多考慮到安全檢查的重要意義。例如，根據(jù)Forrester方面的報(bào)告，2019年有三分之一企業(yè)承受違規(guī)帶來(lái)的后果，而在外部攻擊事件中造成違規(guī)的主要原因包括40%的軟件漏洞以及37%的Web應(yīng)用程序漏洞。

　　面對(duì)這一難題，自動(dòng)化既能夠加快開(kāi)發(fā)速度，又可以提高安全性水平。根據(jù)調(diào)查，在未來(lái)12個(gè)月內(nèi)，開(kāi)發(fā)人員的首要任務(wù)包括更多基于云的開(kāi)發(fā)環(huán)境并更好地滿(mǎn)足組織自身的業(yè)務(wù)需求，而自動(dòng)化也成為未來(lái)十大優(yōu)先事項(xiàng)之一。開(kāi)發(fā)人員希望提高安全開(kāi)發(fā)生命周期的自動(dòng)化程度、加快發(fā)布速度與部署周期，同時(shí)計(jì)劃運(yùn)用更多開(kāi)源軟件成果以縮短開(kāi)發(fā)時(shí)長(zhǎng)。

　　根據(jù)Forrester的調(diào)查結(jié)果顯示，38%的開(kāi)發(fā)人員以每月一次甚至更高的頻率發(fā)布軟件成果，這一比例高于2018年調(diào)查中的27%。

　　Amy 解釋道，自動(dòng)化技術(shù)在安全領(lǐng)域的效果甚至比助力開(kāi)發(fā)本身還要更強(qiáng)一些。據(jù)統(tǒng)計(jì)每天對(duì)應(yīng)用程序進(jìn)行自動(dòng)掃描的企業(yè)（每年300次或以上），其安全漏洞修復(fù)速度要比每年掃描少于3次的企業(yè)快11.5倍。

　　Amy 表示，“企業(yè)顯然正在努力加快產(chǎn)品發(fā)布速度，希望更全面地將自身優(yōu)勢(shì)呈現(xiàn)在客戶(hù)面前?！?/p>

　　Forrester還建議各類(lèi)組織機(jī)構(gòu)應(yīng)實(shí)施靜態(tài)應(yīng)用程序安全測(cè)試（SAST）、動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）以及軟件組成分析（SCA）等方案。截至目前，只有三分之一的企業(yè)在開(kāi)發(fā)階段實(shí)施靜態(tài)應(yīng)用程序安全測(cè)試，相比之下決定在開(kāi)發(fā)與測(cè)試階段中實(shí)施動(dòng)態(tài)應(yīng)用程序安全測(cè)試的企業(yè)占比更高，分別為34%與43%。交互水平更高的應(yīng)用程序安全測(cè)試（IAST）的接受度還要更高一些。

　　據(jù)Forrester總結(jié)，包括管理及檢查開(kāi)源組件安全性在內(nèi)的軟件組成分析類(lèi)方案，同樣保持著旺盛的發(fā)展勢(shì)頭。目前已經(jīng)有37%的企業(yè)計(jì)劃將該功能添加到開(kāi)發(fā)流程內(nèi)，占已在采用此類(lèi)方案的企業(yè)的31%。

　　最后，國(guó)安局還廣泛采用自動(dòng)化技術(shù)以促進(jìn)并提高自身基礎(chǔ)設(shè)施的可靠性水平。國(guó)安局方面使用Terraform進(jìn)行云基礎(chǔ)設(shè)施自動(dòng)化，使用Ansible進(jìn)行構(gòu)建自動(dòng)化，并使用GitLab推動(dòng)持續(xù)集成與持續(xù)部署。Mosher強(qiáng)調(diào)稱(chēng)，在這套立足云端構(gòu)建而成的大型基礎(chǔ)設(shè)施當(dāng)中，只有兩款應(yīng)用程序?yàn)獒槍?duì)國(guó)安局特殊需求定制開(kāi)發(fā)。

　　他總結(jié)道，“正因?yàn)槿绱耍覀兡軌蜓杆傩袆?dòng)，清退以往令人頭痛不已的大量定制化工作。現(xiàn)在，云平臺(tái)提供的定制化選項(xiàng)已經(jīng)非常穩(wěn)定，而且擁有良好的集成效果。”