真正的“左移右移”安全需要有能力的开发人员

“DevSecOps”一词在过去几年变得流行，其目的是将安全性和合规性无缝集成到 DevOps 框架中。然而，现实远非理想：安全工具与新的自动化层一起被固定到现有的 DevOps 流程中，每个人都称之为“DevSecOps”。这是一种被误导的方法，没有遵循协作和敏捷的原则。将安全性集成到 DevOps 以提供 DevSecOps 需要改变思维方式、流程和技术。安全和风险管理领导者必须坚持 DevOps 的协作、敏捷性质，以便安全测试在开发过程中实现无缝，从而使 DevSecOps 中的“安全”变得透明。 — Neil MacDonald，Gartner 在理想的世界中，所有开发人员都应接受过从前端到后端的安全编码实践的培训和经验，并且能够熟练地防止从 SQL 注入到授权框架漏洞的一切。开发人员还将拥有在设计阶段早期做出与安全相关的决策所需的所有信息。再一次，现实与理想不符。虽然 CI/CD 自动化赋予了开发人员对其代码部署的所有权，但这些开发人员仍然因缺乏对相关信息的可见性而受到阻碍，这些信息可以帮助他们在坐下来编写代码之前做出更好的决策。在开发过程中早期发现和修复漏洞的整个概念在某些方面已经过时了。更好的方法是为开发人员提供他们所需的信息和培训，以防止潜在风险成为漏洞。考虑分配给面向 Internet 的 API 添加 PII 字段的开发人员。云 API 网关中的授权控制对于新功能的安全性至关重要。 “向左移动和向右延伸”并不意味着扫描工具或安全架构师应该在流程的早期检测到安全风险——这意味着开发人员应该在漏洞发生之前拥有所有上下文来防止漏洞发生。持续反馈是将开发人员的安全知识提升几个数量级的关键。