江苏龙网

  1. 首页 > 人文 > >

InfoQ百度的 DevSecOps 实践( 二 )


打造高自动化的产品安全工具链:利用产品安全工具在产品研发的各个阶段进行自动化漏洞挖掘 , 快速发现漏洞的同时确保不会降低研发效率
在全公司范围内的落地:设计普适性的、能够覆盖百度所有业务并真正落地的 DevSecOps 框架
DevSecOps 安全运营:对各个产品安全工具进行安全能力建设与工程化运营 , 并支持特定业务线的定制化需求
云原生场景的探索:在云原生基础架构变革大趋势下 , 探索百度 DevSecOps 与云原生场景的融合与落地措施 。
后边的章节会按照这个顺序逐一阐述 。
3.1 产品安全工具链打造
业务安全保障的核心工作之一就是降低线上漏洞数量 。 在 DevSecOps 的建设中 , 想要大幅度降低线上漏洞数量 , 其核心是构建和利用好各种自动化漏洞发掘工具 , 并将其与 CI/CD 进行自动化集成 , 确保执行漏洞发掘的时机准确、及时 , 并且不会影响研发效率 。
在我们的解决方案中 , 主要涉及到 DAST、SAST、IAST、RASP 等工具的设计与实现 , 感兴趣的同学可以阅读之前发过的相关文章:
DAST
SAST
IAST/FAST
RASP
开源应用运行时自我保护解决方案 - OpenRASP
3.2 公司范围落地实践
3.2.1 总体落地思路
在百度 , 产品研发流程被抽象成“需求”、“开发”、“代码准入”、“测试”、“上线 & 验证”五个阶段 。 每个阶段都有完善且严格的规范和要求 , 例如在代码准入阶段 , 要求正式提交的代码必须严格遵循百度代码风格规范 , 否则不允许提交代码 。 这些规范保证了百度的产品能够优质、高效和稳定的交付 , 我们称之为研发工程规范性模型 , 下文简称工程规范性模型 。
百度工程规范性模型将产品研发各个阶段的规范和措施的完成度量化为分数 , 以产品和代码仓库的维度进行统计和公示 , 并在公司层面建立了工程规范性评分基准线 。
我们在思考如何设计和落地 DevSecOps 在各个研发阶段的安全能力时 , 发现 DevSecOps 的内核与工程规范性模型是高度相似的 , 都是通过在产品研发的各个阶段设计规范、工具、检查 , 来提升研发效率、产品质量、工程师素养 。
再一次的不谋而合 , 促使我们决定依托于百度工程规范性模型构建百度的 DevSecOps 模型 , 推动 DevSecOps 工具链与相关规范的落地实施 , 并借助于百度工程规范实现快速推广 DevSecOps 到全公司的效果 。
百度工程规范性模型要求所有接入的规范、工具、方法都要具备高自动化以及高 CI/CD 集成的能力 , 这一点实际我们在 SDL 时代就已经完成 。 所以在落地 DevSecOps 时 , 我们只需要按照该模型的标准 , 将各项产品安全工具、产品安全措施转换为可量化、分步实施的安全检查项 。
通过将安全检查项合理放置在产品研发的各个阶段中 , 我们实现了研发全链条覆盖:
InfoQ百度的 DevSecOps 实践
本文插图
同时得益于高度自动化的安全工具链支撑 , 虽然我们在研发流程中深度嵌入了很多安全检查项 , 但是依然可以满足 DevOps 时代产品快速迭代的需求 。 例如 , 我们将第三方高危组件、安全编码规范等安全检查项嵌入到代码准入阶段 , 自动化扫描任务可以在分钟级完成 , 完全不会影响代码的正常提交 。
下面的章节 , 我们会介绍在 DevSecOps 落地过程中 , 在各个研发阶段涉及到的一些具体安全措施和安全工具 。
3.2.2 需求阶段
需求设计安全解决方案
在 DevOps 模式下 , 需求、设计阶段通常是整个研发周期中最灵活且难以控制的 。 由于业务量庞大、业务快速迭代的特点 , 很多传统产品安全措施如:威胁建模、安全设计评审、业务设计安全评估等工作难以覆盖到所有业务 。
对此 , 在百度 DevSecOps 方案中 , 我们针对不同业务场景提供了一系列安全解决方案 , 覆盖 Web 业务、App 业务、IoT 业务、toB 私有化、用户隐私等业务场景 , 基于多年 SDL 安全经验积累 , 对各个业务中容易出现风险的地方提供了统一化的安全解决方案 , 这些方案有的是规范约定 , 有的是 bad case 枚举 , 还有的是基于安全 SDK 的解决方案 。


推荐阅读


上一篇:cnBeta|微软高管展示Surface Duo双屏可分别玩不同的游戏

下一篇:春风十里不如伱|三十岁才是女人真正美丽的开始,《三十而已》教你活出精彩人生。