2019年3月5号,Sonatype团队发布了一年一度的DevSecOps社区调研白皮书。这是DevSecOps的第六次年度的社区调查,在本年度共计包含对5,558份IT从业者的调研问卷的结果分析,是从安全角度来看DevOps实践的权威材料,而Sonatype也会在本年度3月28号展开详细的说明,让我们先睹为快。
这份报告由Sonatype团队携手下列伙伴完成:
本次白皮书的调研数据主要信息如下:
解读:
在实践DevOps时,行业不同,对于安全的重视程度也不同。从对于安全事件非常关注的金融和科技行业的从业人员占到整体受访者的半数,这并不是偶然。当然,重视归重视,口头上的重视和实际的执行状况是需要进行对比的。我们将继续分析这份报告。
在这份报告中,对于受访者所在组织的成熟度级别也通过一系列的问题进行了确认,对于成熟度高和低的组织的实践进行对比和分析。根据2019年的反馈揭示了DevOps团队已经对安全的集成进行了自动化的探索,这类的“左移”实践也在开发/运维/安全团队的协作方面得到了很好的效果。而关于本次受访者的成熟的,调查显示,
解读:
DevSecOps正像报告中所指出的那样,它能帮助我们保持竞争力,而且能够从最开始就进行安全地开发和部署。这种积极主动的方式降低了安全问题的冲击,而且使得一起井然有序,而不至于在出现问题时到处救火。
解读:
在2017年DevOps和安全相关的一些话题的整理时,从很多企业安全相关的数据就得出了一个结论:安全是一个被所有人口头上非常重视,但是往往在实际的实践中选择性无视的一个话题。而2019年的调查,再次佐证了这一结论。忽视安全的重要性,将会对DevOps的推行产生灾难性的后果。不管速度多快,如果速度不是建立在安全和可用的基础之上的话,失败将是早已注定。DevOps实践需要在全环节进行安全要素的引入。
从Web应用防火墙/容器和应用安全/开源管控/静态应用分析/动态应用分析等方面,成熟度高的组织全面领先。
哪里有DevOps,哪里就有云和容器
随着DevOps成熟度的提升,容器和云的高效加速了开发和运维的协作,而云和容器方面也有自己的安全问题需要对应,而在这个领域也一直有着持续的投入。
在DevOps实践中速度的竞赛也推动了开源软件的浪潮,目前,已经有超过85%的现代应用开发建立在开源组建基础之上的。这极大地提高了软件对于开源组建的依赖性,但并不是所有的组件都是安全的,从OpenSSL的Heartbleed到Proodle和BAsh与Struts2,由于开源组件越来越多地被使用,整体相关的安全漏洞还在上升的趋势。
关于是否有一张列表用来记录和管理在应用开发中所使用到的开源组件这件简单的事情上。根据受访者的反馈,状况如下所示:
关于开源管控的策略,有相关的管控策略并能执行的,在成熟度高的组织中达到了62%,而成熟度低的组织中这一比例只有25%。
在2014年的调查显示有14%的受访者遇到了和开源组件相关的相关的漏洞(以OpenSSL的Heartbleed为代表的漏洞),而这一比例在2019的调查中达到了24%,五年上升了71%。
在被问及是否在过去的一年中经历过的漏洞是由于开源组件或者依赖的脆弱性所导致的这一问题是,成熟度较高的组织的受访者的这一比例是27%,而成熟度较低的组织为21%。
解读:
正如报告中指出的那样,DevOps实践有助于当下更加灵活和快速地交付高质量的产品。而安全作为产品研发中关键的一环是不可或缺的。只有当安全无缝地进程进了软件开发生命周期之后,才是对DevOps实践的真正拥抱和迎接。
很多DevOps实践推动实现“合规即代码”,通过将合规策略进行固化使得对于开发和运维的审计跟踪能够被自动化集成到每日的工作之中。在以代码方式进行实现和集成之前,策略和工作流程的变化的审批和记录应该先进行标准化和规范化。
代码或者密钥直接在仓库中进行管理,关键数据未被加密,关键业务的数据库和账户信息未得到很好的保护,甚至直接在Github上进行暴露。而这样的数据安全漏洞往往会造成灾难性的后果,这方面还有很多改进可做。
关于何人何时做了何事的追踪,是否进行审计跟踪这方面的调查,在成熟度高的组织中,开发这可以通过工具监控和审计所有有软件开发生命周期相关的环境变化,而成熟度较低的组织更多地一考虑手工过程,整体缺乏可追踪性。
随着持续集成和部署的实践深入,多次部署内容如果不进行合理的管控,会导致回滚出现问题或者磁盘空间不足,在生产环境和准生产环境部署的工件是否进行管控可以看出,仍然有达到28%的受访者未做任何处理
关于应用程序级别的密件加密,成熟度较高的组织只有1/4未作处理,而成熟度较低的组织高达54%的比例未做处理。
在DevOps流水线中集成应用和操作安全实践相关的成文的固化安全策略时,DevSecOps的实践变得更加容易,而在今年的调查中,对于更好的管控安全相关的问题,最大的挑战被认为发现安全问题在整个流程中太晚,导致很多返工和速度的拖慢。
关于安全相关的挑战,在今年的调查中,发现问题的时机太晚成为各种成熟度一致认为的最大挑战。
关于安全策略或者安全团队的融入是否会拖慢软件开发团队的进度这个问题上,受访者所在组织的大小直接影响结论的作出。少于100开发者的小团队整体上认为这不构成主要问题,60%左右的团队成员认为不会拖慢。而开发人员多余5000的大企业中,认为不会拖慢的人员比例仅占47%。
1/4左右的企业在过去的一年中受到过安全漏洞的影响,这一问题相较于五年前,有了大幅的上升。
根据调查结果显示,成熟度较高的组织对于网络安全反应相关的对策和计划也明显高于成熟度较低的组织。
安全生产,警钟长鸣。但是说到底,还是要落到企业的战略上,连续三年都认为安全问题非常重要,连续三年有一半的受访者都表示没有时间去对应安全问题,注定这一年的DevSecOps仍然在一定程度上流于形式。在安全方面,口是心非的根本原因不解决,安全在实际的实践中就很难得到真正的落地。