浅谈DevSecOps工具链中的源代码安全保障

<h3 style="margin-left:0cm;">近期，很多企业开始关注DevSecOps，下面根据作者对其理解，简单分析一下在DevSecOps的源代码安全该如何考虑和建设。</h3>
<h3 style="margin-left:0cm;">主要分5部分：</h3>
<p>1、DevSecOps建设的背景和目的</p>
<p>2、安全才是提升研发交付质量的第一要素</p>
<p>3、安全自动化是安全交付的保障</p>
<p>4、企业如何实施DevSecOps</p>
<p>5、企业落实DevSecOps的动力</p>
<p>正文：</p>
<h1 style="margin-left:0cm;">1 DevSecOps建设的背景和目的</h1>
<p style="margin-left:0cm;">随着信息化技术的不断发展，以及国际、国内政治、经济所面临的新形势，新变化，软件行业也需要不断调整自身，以适应社会变革，企业才能生存和发展。这些变化主要体现在：</p>
<ol><li>以美国为首的西方国家对中国的围追堵截，从国际贸易发展高科技领域。中兴、华为事件是比较典型的事件。处处设置障碍，对中国断供、卡脖子，政府不断推出高科技领域的发展政策和投资基础建设，倡导自主、可控的国产化软硬件，包括芯片、主板、CPU、服务器、操作系统、中间件、办公软件、安全软件等等，这给国内企业带来了机遇，把握这个机会才能未来国产化竞争中利于不败之地；</li><li>信息化安全问题日益突出，2019年12月1日网络安全等级保护2.0正式发布实施，对软件安全，尤其是源代码安全漏洞检测提出了多项要求。不管是政府、国防军工，还是金融、互联网等企业越来越重视软件安全，采购国产化软件替换具有潜在风险的国外安全软件，同时各企业越来越重视代码安全审查，把代码安全看作是软件安全的第一步；</li><li>与软件相关的行业经过多年发展，遇到了很多问题和瓶颈，近几年提出的DevSecOps理念，是比较好的一个模式，通过整合工具链和流程，能够打通壁垒，优化和减少部门或团队之间的沟通成本，提升工作效率，各企业都在不断尝试，如何结合本企业的特点，进行落地；同时强调把关注安全融入开发和运维的每一个环节中；</li><li>当前国内一线城市的办公成本居高不下，除了办公场地成本之外，就是用人成本。各大企业除了把非核心业务逐渐转移到二线、三线城市，也在不断尝试引入工具和机器人代替人工劳动，从而减少用工成本。另外，软件研发企业通过优化研发流程，生产管控，减少风险，减少后续不必要的成本。</li></ol>
<p style="margin-left:0cm;">总结，通过前面分析软件行业所面临的形势分析和面临的问题，企业应借鉴同行在DevOps或DevSecOps方面建设经验，根据企业实际情况，优化研发流程，尤其是软件安全相关的流程，建设自动化工具链，提升开发效率，减少团队沟通成本，减少返工成本，是企业必经之路。在整个DevSecOps流程中，使安全成为每个人工作的一部分，将预防性控制集成到我们的代码库中，在每个工作流管道中融入安全。通过引入度量机制和过程优化机制，不断评估实施DevSecOps所带来的效果。如何实施DevSecOps需要软件研发相关企业能够根据自身的特点，做好战略规划，适应社会变化和行业变化，掌握主动，积极应对，才是企业长期发展的基石。</p>
<p style="margin-left:0cm;"> </p>
<h1 style="margin-left:0cm;">2 安全才是提升研发交付质量的第一要素</h1>
<p style="margin-left:0cm;"> 自上个世纪末和2000年之初，很多软件生产企业就非常重视软件产品质量，在生产实践中，运用新方法、新流程不断改进生产工艺，提升交付产品质量，像ISO 9001、CMM/CMMI、精益生产和精益管理等等，软件行业的Ration统一过程软件工程方法、结对编程、螺旋开发模型、敏感开发等，近几年开始流行的DevOps模式等，目的都是为了优化软件研发流程，提升产品交付质量。下图是微软早期的安全开发生命周期模型。</p>
<p style="margin-left:0cm;"><img alt="" class="blockcode" height="379" src="https://beijingoptbbs.oss-cn-beijing.aliyuncs.com/cs/5606289-f446dc1995a17b905d7e366fb01c1887.png" width="524"></p>
<p style="margin-left:0cm;"> </p>
<p style="margin-left:0cm;"> 自2004年起，安全开发生命周期（SDLC）即Security Development Life Cycle，就成为Microsoft全公司的计划和强制施行政策。SDLC是一个帮助开发人员构建更安全软件、满足安全合规要求的同时降低开发成本的软件开发过程。其核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发