第二周作业论文阅读：《DevSecOps：DevOps下实现持续安全的实践探索》

[chunchill]

阅读《DevSecOps：DevOps下实现持续安全的实践探索》，并输出论文的思维脑图和论文阅读笔记。

[Basashs]

《DevSecOps：DevOps下实现持续安全的实践探索》是一篇关于DevSecOps实践的论文，介绍了如何在DevOps开发模式下实现持续安全。该论文重点讨论了以下内容： DevOps和DevSecOps的概念和区别。 DevSecOps的基本原则和实践，包括安全自动化、持续安全、安全风险管理等方面。 DevSecOps的实践过程中可能面临的挑战和解决方案。 实践案例分析，介绍了一个基于DevSecOps的持续安全实践方案，并通过实际应用效果进行了评估和总结。 第一章介绍了DevSecOps的基础概念，包括DevOps、敏捷开发和安全。作者指出，将安全纳入DevOps流程可以帮助组织更快速、更可靠地构建和交付应用程序。 第二章探讨了安全威胁和漏洞的类型，以及如何在DevOps中管理它们。作者介绍了常见的安全威胁和攻击方法 并不是说你使用了一些CI或CD平台，就是做到了DevOps。实际上想要真正成功实施DevOps并从中获得优势，可能是需要改变整个产品设计、研发流程、系统架构以及思考方式，需要建设成熟的研发基础设施等工作的，这一点极其重要！举个最简单的例子，如果你的系统还不能做到自动化测试，直接上DevOps可能会死的很惨。因此，DevOps本身的实践也是一个过程，需要结合自身研发的痛点来有针对性的逐步发展。不过通常来说，CI和CD可能是迈向DevOps的第一步。 ![Uploading 023C7F85-F7D2-47A6-850F-2267DBC5F196.jpeg…]() 71255903023 刘天翼

[Basashs]

![Uploading 53D10B01-42F8-4193-8DD4-F9A31333503E.jpeg…]()

[yomizhong]

通过对《DevSecOps：DevOps下实现持续安全的实践探索》一文的学习，我对DevSecOps的背景有了更多的理解。也对DevSecOps的主要特征、具体实践、发展趋势有了更清晰的认识。以下为本文的阅读笔记： 在 DevOps 工作模式下,开发人员和运维人员通过持续集成、持续部署等自动化过程相互协作,共同解决软件生命周期中遇到的各种问题。DevOps 为企业带来了高频率的发布和部署，但是在这种高速的开发模式下,软件安全通常难以得到保障。DevSecOps 的出现为在 DevOps 开发模式下解决安全问题,提供了新的解决思路和实践方式。

DevSecOps 是 DevOps 在安全领域的拓展，它在本质上与DevOps 有很多相似处,它们都是作为一种理念来指导软件的开发过程,但是具体的实践方式却与实际业务场景、公司组织结构等因素息息相关。

DevSecOps的主要特征有： 文化：DevOps 强调了开发和运维两个团队之间的协作,DevSecOps 进一步提出安全团队也需要加入到这样的协作中。 自动化：DevSecOps 在DevOps持续集成、持续部署等活动的基础上,提出需要将安全自动化流程嵌入到软件的开发和运维中,以实现整个 DevOps 生命周期的持续安全。 度量：DevSecOps 在检测通用的 DevOps 度量指标之外,也添加了安全方面的相关度量.相关人员通过持续检测这些安全指标,及时进行信息监控和反馈,继而实现持续安全的目标. 共享：DevSecOps 提倡在 DevOps 建立的共享氛围中加入安全团队.安全团队需要了解开发团队和运维团队所面临的安全挑战,并帮助他们改善原有的工作流程.反之,开发团队和运维团队也需要能够了解到安全团队注重的安全问题,在早期就加以防范,进而促进不同团队之间的理解与沟通.安全团队还需要为开发和运维团队统一安全工具集,并将这些自动化的安全工具集成到 DevOps 流水线中,防止因为工具不一致而导致的额外工作。

DevSecOps 实践试图在 DevOps 现有工作流中无缝接入安全相关实践,以提高 DevOps 整体流程和最终交付的安全性。如： 计划阶段：进行如安全需求工程、固有风险评估、威胁建模等安全实践。 编码阶段：进行开发环境扫描、开源组件安全扫描、集成安全插件等、使用安全框架、编码规范、代码审查等具体实践。 构建阶段：进行静态应用程序安全检测、可重复性构建等 测试阶段：进行动态应用程序安全检测、交互式应用程序安全检测、渗透测试等 发布阶段：进行添加数字签名、应用屏蔽等 部署阶段：强化云部署、容器加固等 运维阶段：红蓝对抗、混沌工程、控制技术债务、安全漏洞修复计划等 监控阶段：入侵检测、合规监控、舆情监控等 除以上对原有DevOps流程上的改进，还要求组织在内部建立一种安全文化,使得开发、运维和安全团队能够高效地协同工作,实现快速、安全的产品交付.为实现这一目标,组织需要落地一系列相关实践来调整自身的组织结构和管理流程。

目前对 DevSecOps 的研究和应用还处于起步阶段，DevSecOps 未来可能的研究方向有：组织结构和文化转型、自动化安全工具改进、DevSecOps 流水线管理、传统安全实践改进、DevSecOps 评价体系构建、工程师个人能力提升等。

思维导图

仲晚秋-71255903003

[smebkoo70]

本文主要介绍了DevOps下实现持续安全的实践探索，即DevSecOps。作者指出，在DevOps流程中集成安全是一项具有挑战性的任务，因为DevOps的目标是实现快速交付，而安全的目标是确保系统的保密性、完整性和可用性。为了解决这个问题，作者提出了DevSecOps的概念，即将安全纳入到DevOps流程中，从而实现持续安全。

我认为，这篇论文非常有价值，因为它提供了一种新的思路和方法，可以帮助团队在DevOps流程中实现持续安全。DevOps已经成为现代软件开发中的一种流行方法，但是安全一直是一个被忽视的问题。通过将安全纳入到DevOps流程中，可以帮助团队更好地管理安全风险，并在快速交付的同时保证系统的安全性。

在本文中，作者还介绍了一些工具和技术，这些工具和技术可以帮助团队在DevOps流程中实现持续安全。例如，自动化安全测试工具、容器安全工具、漏洞扫描工具等。这些工具和技术可以帮助团队快速识别和解决安全问题，从而提高系统的安全性和可靠性。

总的来说，我认为这篇论文提供了有关如何在DevOps流程中实现持续安全的一些有用信息。它介绍了DevSecOps的概念，并讨论了在DevOps流程中集成安全的挑战和机遇。此外，论文还介绍了一些工具和技术，这些工具和技术可以帮助团队在DevOps流程中实现持续安全。我相信这些信息对于那些希望在DevOps流程中更好地管理安全风险的开发团队和安全团队非常有用。

71255903017-郝思闻

[heji233]

devops实现持续安全的实践探索 阅读笔记

2012年首次提出了安全DevOps的概念，即DevSecOps，在devops的开发模式中融入与之速度相匹配的安全控制算法 文章正式向国内软件工程社区全面介绍devsecops的概念以及内容，希望为之后的实践落地和进一步研究奠定基础。

PART：sec的主要特征

CAMS 目前认可度较高且广泛应用的特征模型 culture automation measurement sharing 所有参与软件开发和运维工作的人员都需要主动承担安全责任，并具备一定的安全意识和安全技能 将安全自动化流程嵌入到软件的开发和运维中，实现整个devops生命周期的安全；加入安全方面的相关度量

PART 典型实践

根据软件开发各个阶段主要工作内容的差异，分为8个阶段

1. 计划阶段：安全需求工程，固有风险评估，威胁建模
2. 编码阶段：提高编码阶段产出的代码质量，加强整个开发过程中的安全规范
3. 构建阶段：对源代码进行集成、编译、单元测试、打包、生成可运行的二进制文件
4. 测试阶段：动态应用程序安全检测、 交互式应用程序安全检测、 渗透测试
5. 发布阶段： 添加数字签名、应用屏蔽（代码混淆，使应用程序的二进制文件更加难以分析，增强了应用的防护能力）
6. 部署：强化云部署、容器加固
7. 运维：红蓝对抗：在生产环境下模拟网络持续攻防场景，提高企业的安全防御能力；混沌工程：在生产环境中对软件系统进行试验； 混沌工程、控制技术债务、安全漏洞修复计划
8. 监控：入侵检测监控，合规监控，舆情监控
9. 通用实践（不局限于软件开发生命周期中的某个特定阶段，统称为通用实践）进一步分为协作实践和过程实践

PART 优缺点

优点： 能提高企业的安全开发效率；消除不同团队之间的交流隔阂，促使达成团队之间更多、更好的合作；提升软件组织的安全成熟度以及它们所开发的软件质量；使软件组织的业务更加活跃

缺点： 改变现有的组织结构和工作流程，如果企业没有理解在devops环境中注重安全的必要性，组织结构就难以发生变化；在devops的敏捷性和安全性之间的平衡很难掌握； 软件组织中缺乏devsecops的专家；缺乏自动化的安全工具；解决方案尚未成熟

71255903021 黄小卉