国内首个DevSecOps行业调查报告发布：方兴未艾 任重道远

随着云计算、微服务和容器技术的快速普及，IT基础架构和政企组织的业务交付模式迎来了巨大变迁，传统SDLC开发模式向DevOps敏捷开发和持续交付模式迁移。

如何保障业务安全成了安全部门最大的难题，DevSecOps的出现，将安全作为管理对象的一种属性，从软件供应链开发早期开始进行全生命周期的安全管理，标志着软件供应链的安全保障进入到一个全新的时代。

数据调查显示，62%的开发者和运营专家认为把安全融入DevOps已成为重中之重。RSA 2020发布趋势表明，DevSecOps再次成为业内外关注的焦点之一。那么在国内，在各个行业中，DevSecOps的落地实践现状到底如何，是否真的具备良好的未来发展趋势？安全419在CIS 2020大会DevSecOps实践与技术论坛上找到了答案。

悬镜安全与FreeBuf咨询于会上联合发布了《2020 DevSecOps行业洞察报告》，据介绍，这份国内首个DevSecOps行业调查报告通过问卷调查、资料收集、交流访谈等形式，对千余名不同IT背景的专业人员展开调研，了解到DevSecOps实践者及潜在实践者的想法、做法与现实困境。


调查结果显示，只有10%的受调者非常了解DevSecOps且有亲身实践，41%的受调者完全没有听过。82%的受调者所在的组织没应用过DevSecOps，只有2%的组织在实践并且已经非常成熟，可以说，DevSecOps的推广普及仍处于初级阶段，对于大多数企业和单位，DevSecOps依然是一个新生事物。

但企业软件应用的安全问题是长期存在的，虽然有96%的受调者已经认识到安全在软件应用中的重要性，然而却只有16%的受调者有充足的时间来处理这些安全问题。近半（49%）受调者的组织会使用黑盒测试工具DAST，24%的组织没有使用任何安全检测工具，17%的受调者甚至不清楚组织是否有进行安全测试。以此来看，DevSecOps所倡导的人人参与安全，渗透得还远远不够。高达81%的受调者表示从未接受过任何安全培训，而要让安全成为团队中每一个人的责任，无论是培训或是文化渗透都还有很长的路要走。

那么安全测试工作与研发流程结合得如何呢？81%的受调者表示安全工作会不同程度地影响到软件应用生产的效率，在测试阶段进行应用安全检测的组织是最多的，达到46%，34%的受调者表示其组织的安全测试工作是独立执行的，31%表示安全工作与软件流程虽已集成，但包含一定程度的人工实施。安全工作与开发流程的结合是趋势，但尚未成熟，值得欣慰的是，组织已更多地选择将安全工作前置到应用上线前，以减少上线后业务发生安全事故的概率。

同时报告也给出了DevSecOps安全工具金字塔，DevSecOps中的应用安全管理和保障能力依赖不同的安全工具能力互相作用、叠加、协作而实现，安全工具之间的边界有时会模糊不清，因为单一的安全工具可以实现多种类别的安全能力。


该DevSecOps安全工具金字塔描述了安全工具所属的不同层次，据报告出品人之一、悬镜安全COO董毅介绍，金字塔底部的工具是基础工具，他建议做DevSecOps建设的企业优先引入这些工具，因其普适性强、侵入性低、易用性高，能比较直接地解决问题。随着组织DevSecOps成熟度的提高，上层进阶工具可以帮助DevSecOps实践变得更加完善且深入。由于普适性弱、引入更困难，也需要各个团队、各个不同角色之间的配合。

金字塔当中的IAST交互式应用程序安全测试也被报告评价为2020年度热点技术，悬镜安全CEO子芽在会议演讲中分享了有关IAST的技术实践。IAST的引入主要为了解决政企用户不同开发测试场景下的精准应用安全测试问题。一套完善的IAST解决方案需要同时支持运行时插桩模式、流量代理/VPN模式、流量镜像模式等集中主流模式。

以最具代表性的运行时插装模式来说，其需要在被测试应用程序中部署插桩Agent，使用时需要外部扫描器去触发这个Agent。一个组件产生恶意攻击流量，另一个组件在被测应用程序中监测应用程序的反应，由此来进行漏洞定位和降低误报。

据报告预判，IAST将在2021年继续保持高增长，因IAST技术本身的实时检测、超低误报率、可以定位到具体代码行等特点，是当前支撑敏捷安全的首选工具，在节奏上可以与敏捷开发良好匹配。

除了IAST，报告还预测OSS开源治理将成为新的热点，RASP出厂免疫将迎来新发展。当开源无处不在，风险也如影随形，在组织的DevSecOps实践中，会更加注重开源风险的监测与治理，构建新一代开源威胁综合管控平台势在必行。随着网络安全从边界安全到主机安全、再到应用安全的发展演进，运行时安全将成为下一代应用安全的重心，RASP技术通过与IAST技术的融合，将会提供更易于接受和使用的部署方案，为业务应用出厂默认安全提供更加接地气的创新解决方案。


整个信息产业发展到今天，单依靠安全岗位这一角色来保证研发的系统不出现安全问题并不现实，安全和研发团队都需要参与到DevSecOps模式的不断建设和优化中来。好消息是，安全419在会上知悉，今年7月，首个由中国信通院主导的DevOps国际标准已成功获批，标准评估体系将极大地推进DevSecOps的落地与实施。我们也期待，DevSecOps理论与工具链不断向前发展，通过自动化等方式赋能研发运维，将应有的安全责任传递到每一个人，实现更好的安全管控。