《應(yīng)用安全左移》中文版-DevOps社區(qū)

fg@I?g81??:I?í1:í:fg@I?g81??:I?í1:í:eDevopsPeterConradREPORT應(yīng)用安全左移DevOps彼得·康拉德應(yīng)用安全左移作者：彼得·康拉德版權(quán)所有?2022O’ReillyMediaInc.版權(quán)所有。在美國(guó)印刷。由O’ReillyMedia,Inc.出版，地址：1005GravensteinHighwayNorth,Sebastopol,CA95472。購(gòu)買O’Reilly書籍可用于教育、商業(yè)或促銷用途。大多數(shù)圖書也提供在線版本（http://）。如需了解更多信息，請(qǐng)聯(lián)系我們的企業(yè)/機(jī)構(gòu)銷售部門：800-998-9938或corporate@。采購(gòu)編輯：JenniferPollock開發(fā)編輯：GaryO’Brien制作編輯：KateGalloway文案編輯：LizWheeler校對(duì)：GregoryHyman室內(nèi)設(shè)計(jì)師：DavidFutato封面設(shè)計(jì)師：RandyComer插畫師：KateDullea2022年4月：第一版第一版的修訂歷史2022-04-06：首次發(fā)布O’Reilly是O’ReillyMedia,Inc.的注冊(cè)商標(biāo)。應(yīng)用程序安全性左移、封面圖片和相關(guān)商業(yè)外觀是O’ReillyMedia,Inc.的商標(biāo)。本文所表達(dá)的觀點(diǎn)僅代表作者個(gè)人觀點(diǎn)，并不代表出版商的觀點(diǎn)。雖然出版商和作者已盡力確保本作品中包含的信息和說(shuō)明準(zhǔn)確無(wú)誤，但出版商和作者不承擔(dān)任何錯(cuò)誤或遺漏的責(zé)任，包括但不限于因使用或使用而造成的損害。使用本作品中包含的信息和說(shuō)明的風(fēng)險(xiǎn)由您自行承擔(dān)。如果本作品包含或描述的任何代碼示例或其他技術(shù)受開源許可證或他人知識(shí)產(chǎn)權(quán)的約束，則您有責(zé)任確保您對(duì)其的使用符合此類許可證和/或權(quán)利。這項(xiàng)工作是O’Reilly和NGINX合作的一部分。請(qǐng)看我們的編輯獨(dú)立性聲明.978-1-098-12732-9[LSI]前言從設(shè)計(jì)到部署，安全對(duì)于應(yīng)用程序開發(fā)和支持中的每個(gè)人都很重要。無(wú)論你是開發(fā)人員、安全或運(yùn)維工程師，還是公司的CISO（首席信息安全官），都已經(jīng)正在考慮安全問(wèn)題。全面地考慮安全，需要考慮所有可用的工具及其在軟件開發(fā)流水線中的位置。將安全左移意味著從流水線的最早階段就引入工具和流程來(lái)承載安全性，而不是在最后階段匆忙地進(jìn)行一些安全測(cè)試草草了事。本報(bào)告將幫助你了解為什么安全左移是如此重要以及如何做到這一點(diǎn)。你將了解組織在更快、更安全地交付應(yīng)用程序的壓力下所面臨的挑戰(zhàn)，同時(shí)左移如何幫助解決這些問(wèn)題，并且需要整個(gè)組織改變思維才能實(shí)現(xiàn)這一切。在報(bào)告結(jié)束時(shí)，你將能夠向你的組織提出一些應(yīng)用程序安全建議，并且將通過(guò)工具來(lái)創(chuàng)建你和你的團(tuán)隊(duì)可以應(yīng)用的策略，以使安全成為每個(gè)人的首要任務(wù)。通過(guò)團(tuán)隊(duì)之間和諧的關(guān)系和一組共享的安全優(yōu)先級(jí)，任何組織都可以通過(guò)將安全左移成功地使其應(yīng)用程序、服務(wù)和開發(fā)流程更加健壯。介紹左移并不是一個(gè)新想法。隨著現(xiàn)代軟件流程的發(fā)展使一切變得連續(xù)，左移已經(jīng)成為傳統(tǒng)被局限于開發(fā)與生產(chǎn)階段之間的測(cè)試階段的各種流程的規(guī)范。安全左移意味著從設(shè)計(jì)的最早階段開始實(shí)施安全策略、控制和設(shè)計(jì)，一直持續(xù)到生產(chǎn)。盡管人們普遍認(rèn)為安全左移是一個(gè)好主意，但很難就哪些工具和方法最適合這項(xiàng)任務(wù)達(dá)成一致。一部分公眾的討論關(guān)注在與代碼和容器相關(guān)的掃描工具、自動(dòng)修復(fù)以及專為現(xiàn)代應(yīng)用程序和基礎(chǔ)設(shè)施設(shè)計(jì)的其他新的安全工具上。具備在運(yùn)行時(shí)保護(hù)應(yīng)用程序的悠久歷史的工具似乎已經(jīng)過(guò)時(shí)，被貼上“遺留”工具的標(biāo)簽，在現(xiàn)代軟件開發(fā)環(huán)境中失去了地位。Web應(yīng)(WAF)WAF隨著企業(yè)將應(yīng)用程序遷移到云端，左移變得越來(lái)越重要?，F(xiàn)代應(yīng)用程序不再是單體，而是由大量服務(wù)組成，這些服務(wù)呈現(xiàn)出復(fù)雜、多樣化的攻擊面，僅靠代碼掃描和良好的編程實(shí)踐已無(wú)法防御。左移必須不僅僅是設(shè)計(jì)上的安全性。企業(yè)需要執(zhí)行一個(gè)有意識(shí)的文化轉(zhuǎn)變，使安全成為每個(gè)人的責(zé)任，從設(shè)計(jì)到生產(chǎn)的整個(gè)過(guò)程都要涵蓋，這一轉(zhuǎn)變的驅(qū)動(dòng)力是經(jīng)由利用來(lái)自運(yùn)行時(shí)工具的反饋而不斷完善的政策。傳統(tǒng)上，開發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)似乎總是處于對(duì)立狀態(tài)。開發(fā)人員面臨著快速交付更多功能的壓力，而安全團(tuán)隊(duì)則被視為看門人，有時(shí)會(huì)停止開發(fā)以調(diào)查問(wèn)題。安全左移所必需的文化變革需要開發(fā)團(tuán)隊(duì)與安全團(tuán)隊(duì)的共同合作。這意味著每個(gè)參與者都需要新的工作方式。安全團(tuán)隊(duì)必須成為良好實(shí)踐的推動(dòng)者，提供保護(hù)應(yīng)用程序和基礎(chǔ)設(shè)施的護(hù)欄，同時(shí)又不會(huì)阻礙工程進(jìn)展。從設(shè)計(jì)到部署，開發(fā)團(tuán)隊(duì)必須承擔(dān)一定的安全責(zé)任。從根深蒂固的流程到預(yù)算，再到內(nèi)部政治，許多因素都可能致使如此重大的文化轉(zhuǎn)變舉步維艱。本報(bào)告對(duì)云原生應(yīng)用程序架構(gòu)的當(dāng)前安全形勢(shì)、一些類型的威脅以及將左移策略引入持續(xù)集成和持續(xù)部署(CI/CD)軟件流水線的一些策略和工具進(jìn)行了調(diào)查。第1章DevOps和DevSecOps傳統(tǒng)的軟件開發(fā)過(guò)程專注于創(chuàng)建單體應(yīng)用程序，它將設(shè)計(jì)、構(gòu)建、測(cè)試和交付分為不同的階段，但是事后看來(lái)，這種方法顯然既不靈活也不高效。為了應(yīng)對(duì)日益增長(zhǎng)的壓力，敏捷開發(fā)方法將大型任務(wù)分解為若干更小的單元，從而使得流程變得更加靈活。隨著研發(fā)人員遍布全球，將大家束縛在單一的代碼庫(kù)上已不再現(xiàn)實(shí)。應(yīng)用程序架構(gòu)將從單體模型轉(zhuǎn)向微服務(wù)，這使得分散的團(tuán)隊(duì)可以在不同的服務(wù)上分別工作且不會(huì)互相影響。管理日益龐雜的微服務(wù)開發(fā)迫使軟件開發(fā)流水線中的所有步驟都是連續(xù)的，這也是DevOps發(fā)揮作用的所在之處。DevOpsDevOps是一種概念，是涵蓋了多項(xiàng)目標(biāo)的一系列實(shí)踐。DevOps將開發(fā)和運(yùn)營(yíng)結(jié)合在一起，模糊了開發(fā)、構(gòu)建、部署和維護(hù)應(yīng)用程序各階段之間的職責(zé)界限，也打破了負(fù)責(zé)其中不同任務(wù)團(tuán)隊(duì)之間的界限，使他們能夠建立應(yīng)用程序和功能的持續(xù)集成和部署。圖1-1展示了軟件開發(fā)和部署CI/CD方法的各個(gè)階段。圖1-1.DevOpsCI/CD流水線中的軟件開發(fā)階段持續(xù)集成意味著在開發(fā)后盡快將代碼變更合并到共享的主代碼庫(kù)中，使代碼庫(kù)與每個(gè)人的最新工作保持同步，以便可以盡快進(jìn)行測(cè)試和發(fā)布。持續(xù)部署使發(fā)布的過(guò)程以及生產(chǎn)部署的測(cè)試能夠自動(dòng)化運(yùn)行。通過(guò)不斷合并和測(cè)試變更，DevOps流水線降低了獨(dú)立工作的分布式團(tuán)隊(duì)發(fā)生集成沖突的風(fēng)險(xiǎn)。從本質(zhì)上講，DevOps旨在打破阻礙質(zhì)量持續(xù)提升的障礙。通過(guò)相關(guān)步驟左移到DevOpsDevOps。但是DevOps1-2圖1-2這種安全方法在傳統(tǒng)的單體軟件開發(fā)過(guò)程中并不十分有效，對(duì)于基于現(xiàn)代微服務(wù)的應(yīng)用來(lái)說(shuō)就更糟糕了。因此出現(xiàn)了一種新的思維方式，將安全性集成到整個(gè)開發(fā)過(guò)程中：從DevOps演變?yōu)镈evSecOps。DevSecOps當(dāng)開發(fā)和安全性分開時(shí)，自然會(huì)產(chǎn)生摩擦。開發(fā)人員可能會(huì)將自身視為變革的驅(qū)動(dòng)力，而將安全視為持續(xù)的障礙。眾所周知，安全團(tuán)隊(duì)會(huì)因執(zhí)行審計(jì)或調(diào)查問(wèn)題而叫停開發(fā)。同時(shí)，開發(fā)人員卻一次又一次地制造或忽略相同的問(wèn)題，而不采用明確的解決方案。DevSecOps將安全性作為DevOps的優(yōu)先事項(xiàng)，將其置于應(yīng)用程序開發(fā)的中心環(huán)節(jié)，并且對(duì)軟件流水線中的每個(gè)人建立安全第一的理念。在DevSecOps模型中，安全是每個(gè)人的職責(zé)。這也是減少開發(fā)人員和安全工程師之間產(chǎn)生摩擦的第一步。與DevOps一樣，DevSecOps專注于打破團(tuán)隊(duì)之間的重重阻礙，使溝通變得更透明化，目標(biāo)是從一開始就在每個(gè)產(chǎn)品中構(gòu)建安全性，在開發(fā)過(guò)程中盡可能地保持原有的速度和敏捷性。正如DevOps賦予更多開發(fā)人員測(cè)試自己代碼的職責(zé)一樣，DevSecOps將構(gòu)建安全且合規(guī)的代碼視為每個(gè)開發(fā)人員的首要任務(wù)。DevSecOpsDevSecOpsDevOps和DevSecOps如何改變團(tuán)隊(duì)雖然安全性曾經(jīng)被視為開發(fā)結(jié)束時(shí)的附加功能，但DevSecOps使人們意識(shí)到應(yīng)用程序中的每個(gè)組件都有可能受到攻擊，并且必須在設(shè)計(jì)上保證絕對(duì)的安全。通過(guò)為軟件開發(fā)過(guò)程帶來(lái)靈活性和透明度，DevSecOps便轉(zhuǎn)向于可在任何環(huán)境中部署的云優(yōu)先軟件。隨著越來(lái)越多的公司認(rèn)識(shí)到需要將安全性納入軟件開發(fā)的核心，DevSecOps逐漸成為主流，DevSecOps已經(jīng)被證實(shí)是DevOps的自然演變，就像DevOps自然地從敏捷方法中成長(zhǎng)出來(lái)一樣。DevSecOps所代表的理念轉(zhuǎn)變意義重大。安全和DevOps團(tuán)隊(duì)的工作有了一個(gè)共同的目標(biāo)：快速、安全地將高質(zhì)量的產(chǎn)品推向市場(chǎng)。開發(fā)團(tuán)隊(duì)也將不會(huì)感覺到總是被安全流程阻斷其工作，安全團(tuán)隊(duì)也將發(fā)現(xiàn)自己不再需要重復(fù)解決相同的問(wèn)題，這使得團(tuán)隊(duì)能夠保持強(qiáng)大的安全態(tài)勢(shì)，能夠發(fā)現(xiàn)并且防止漏洞、配置錯(cuò)誤或者違反合規(guī)性策略的行為等。開發(fā)、運(yùn)營(yíng)和安全團(tuán)隊(duì)共同進(jìn)行威脅建模，共享知識(shí)，籍此預(yù)測(cè)或者消除產(chǎn)品在其開發(fā)過(guò)程中涉及的潛在缺陷。除了態(tài)度的轉(zhuǎn)變之外，DevSecOps還提供了切實(shí)的好處。通過(guò)盡早地發(fā)現(xiàn)問(wèn)題，團(tuán)隊(duì)可以為其客戶提供更好、更安全的產(chǎn)品和服務(wù)。當(dāng)緊急補(bǔ)丁或意外漏洞存在較少時(shí)，最終用戶體驗(yàn)也會(huì)更好。DevSecOps可以更早地發(fā)現(xiàn)漏洞并且在部署之前就修復(fù)它們，這樣也可以減少客戶的宕機(jī)時(shí)間，從而使企業(yè)更具成本效益。采納DevSecOps的挑戰(zhàn)采納DevSecOps實(shí)踐具有非常明顯的優(yōu)勢(shì)，但這并不意味著其中的每一步都很容易，從保護(hù)分布式應(yīng)用程序的日常機(jī)制到重大的理念變革，DevSecOps都會(huì)為團(tuán)隊(duì)帶來(lái)潛在的挑戰(zhàn)。傳統(tǒng)意義來(lái)說(shuō)，安全性側(cè)重于易于理解的應(yīng)用程序邊界，通常圍繞在單個(gè)數(shù)據(jù)中心之間。隨著企業(yè)采用DevOps、云原生以及基于微服務(wù)的應(yīng)用架構(gòu)，應(yīng)用程序和安全性之間的挑戰(zhàn)也將會(huì)分散開來(lái)。這些應(yīng)用程序由在多個(gè)環(huán)境中運(yùn)行的微服務(wù)組成，跨多個(gè)網(wǎng)域進(jìn)行通信，并且處理來(lái)自全球的設(shè)備和用戶數(shù)據(jù)，這就使得這些服務(wù)之間的攻擊面又大又難定義，幾乎不可能盤點(diǎn)這些服務(wù)之間的所有交互或者是通過(guò)公共和專用網(wǎng)絡(luò)傳輸?shù)乃袛?shù)據(jù)。與此同時(shí)，當(dāng)應(yīng)用程序的所有權(quán)從團(tuán)隊(duì)轉(zhuǎn)移到更多的部門時(shí)，安全性很容易被拋在一邊。如果單個(gè)工程團(tuán)隊(duì)認(rèn)為安全是專門的安全團(tuán)隊(duì)的問(wèn)題，那么他們就不會(huì)重視安全性。這往往會(huì)將安全性推向軟件開發(fā)過(guò)程的后期階段，此時(shí)安全性也將會(huì)變得更加困難且效率極低。只有當(dāng)開發(fā)團(tuán)隊(duì)充分了解安全時(shí)，左移才有效。開發(fā)人員不僅需要良好的安全開發(fā)實(shí)踐經(jīng)驗(yàn)，而且還需要足夠的知識(shí)來(lái)理解他們負(fù)責(zé)解決的問(wèn)題，這也就意味著需要花費(fèi)時(shí)間和金錢來(lái)進(jìn)行培訓(xùn)。解決這些問(wèn)題的關(guān)鍵是創(chuàng)建一種協(xié)作的理念，以安全為焦點(diǎn)建立快速、持續(xù)的迭代過(guò)程。這意味著之前許多獨(dú)立分散的團(tuán)隊(duì)需要學(xué)習(xí)如何在一起協(xié)作：進(jìn)行開發(fā)、IT運(yùn)營(yíng)和保持安全。安全性必須成為整個(gè)軟件開發(fā)過(guò)程中各個(gè)方面的一種實(shí)踐，并且必須保持持續(xù)，且不能中斷。開發(fā)團(tuán)隊(duì)必須提供指導(dǎo)并且指導(dǎo)過(guò)程也不能中斷，就像流水線的開發(fā)和運(yùn)營(yíng)部分一樣保持連續(xù)性。好消息是收益大于成本，當(dāng)每個(gè)人的工作涉及到安全時(shí)，這些問(wèn)題就能以花費(fèi)更少的費(fèi)用更早的得到解決，并且也為參與軟件開發(fā)過(guò)程中的每個(gè)人以及客戶提供更好的用戶體驗(yàn)。第2(SDLC)SolarWindsCodecovSDLCDevSecOps：安全左移傳統(tǒng)上，安全和其他測(cè)試放在軟件開發(fā)過(guò)程的最后階段，即設(shè)計(jì)和構(gòu)建階段之后。僅在流程結(jié)束時(shí)才進(jìn)行安全測(cè)試，決定軟件是否適合發(fā)布的結(jié)果。將安全左移意味著通過(guò)設(shè)計(jì)將安全嵌入到整個(gè)SDLC之中。在傳統(tǒng)的瀑布式開發(fā)中，軟件遵循從設(shè)計(jì)到部署的線性路徑。相比之下，DevOps軟件環(huán)境中的持續(xù)集成和部署意味著一切都在隨時(shí)發(fā)生。為了理解現(xiàn)代SDLC的安全左移理念，我們必須暫時(shí)展開CI/CD流水線的無(wú)限符號(hào)，如圖2-1所示。圖2-1：通過(guò)將安全嵌入到CI/CD并修復(fù)潛在問(wèn)題。據(jù)埃森哲稱，將安全左移可以將構(gòu)建成本降低70%，并將上線時(shí)間縮短一半。及早發(fā)現(xiàn)和修復(fù)問(wèn)題可以增強(qiáng)應(yīng)用程序的質(zhì)量和安全性，避免事后設(shè)計(jì)和應(yīng)用缺陷解決方案，并減輕運(yùn)營(yíng)團(tuán)隊(duì)的應(yīng)用程序維護(hù)負(fù)擔(dān)。DevSecOps——GoogleCloud的DevOpsResearch和Assessment（DORA）制作的《加速DevOps2021》，稱之為診斷方法。為了快速自動(dòng)評(píng)估安全性，DevSecOps使用多種工具作為CI/CD流水線的一部分，包括以下工具：(SAST)掃描源代碼以查找缺陷，向開發(fā)人員提供早期反饋。通過(guò)自動(dòng)掃描容器以識(shí)別漏洞。(DAST)在運(yùn)行時(shí)掃描應(yīng)用程序以檢測(cè)通過(guò)掃描代碼難以顯現(xiàn)的問(wèn)題。(RASP)分析應(yīng)用程序的運(yùn)行狀態(tài)并阻止可疑活動(dòng)。Web(WAF)監(jiān)控應(yīng)用程序級(jí)網(wǎng)絡(luò)流量以檢測(cè)和阻止攻擊。特別是，WAF可以提供針對(duì)于應(yīng)用程序的保護(hù)。從歷史上看，安全和網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)使用WAF來(lái)保護(hù)在集中式數(shù)據(jù)中心生產(chǎn)環(huán)境中運(yùn)行的應(yīng)用程序。在現(xiàn)代的云原生基礎(chǔ)設(shè)施環(huán)境中，這種方法不夠快也不夠高效。等待應(yīng)用程序投入生產(chǎn)、標(biāo)記WAF識(shí)別的問(wèn)題并在下一版本的代碼中修復(fù)它們不再有意義?，F(xiàn)代開發(fā)方法是將WAF納入構(gòu)建和測(cè)試階段的早期階段，并在出現(xiàn)問(wèn)題時(shí)予以解決。這意味著WAF本身必須能夠左移。APIWAFWAFWAF中。使用某些WAF，您可以將安全策略封裝為代碼，從而可以構(gòu)建更強(qiáng)大的策略，并可以使用源代碼管理來(lái)開發(fā)和演進(jìn)。安全左移的挑戰(zhàn)在任何組織中，安全左移都涉及技術(shù)和文化方面的挑戰(zhàn)。不同的團(tuán)隊(duì)有不同的角色。開發(fā)人員努力快速前進(jìn)，為他們的項(xiàng)目增加創(chuàng)新元素，安全團(tuán)隊(duì)不斷努力降低風(fēng)險(xiǎn)，即使這意味著放慢速度。這可能會(huì)導(dǎo)致摩擦或沖突。為了緩解這些挑戰(zhàn)，CI/CD流水線需要采用新的流程和工具，團(tuán)隊(duì)必須學(xué)會(huì)以新的方式使用現(xiàn)有工具。所有相關(guān)團(tuán)隊(duì)必須努力實(shí)現(xiàn)必要的一致性、可見性和透明度，以便讓安全性成為SDLC新的一部分。在一些組織中，不同的團(tuán)隊(duì)在如何自我組織和工作方面有很大的靈活性，但它可能使團(tuán)隊(duì)難以一致地左移安全性。很難對(duì)整個(gè)組織內(nèi)可能未統(tǒng)一開發(fā)的應(yīng)用程序和服務(wù)提供整體視圖?？梢娦允前踩年P(guān)鍵，尤其是在漏洞檢測(cè)和合規(guī)性領(lǐng)域。如果整個(gè)CI/CD流水線沒有一致的可見性，就很難以有意義的方式左移安全。隨著團(tuán)隊(duì)的成熟，他們傾向于與組織范圍內(nèi)的最佳實(shí)踐保持一致，但當(dāng)左移時(shí)，您會(huì)迫不及待地希望這種情況發(fā)生。如果項(xiàng)目不遵循最佳實(shí)踐，就不可能實(shí)現(xiàn)良好的安全性。每個(gè)團(tuán)隊(duì)都必須具有良好的測(cè)試覆蓋率和對(duì)其他團(tuán)隊(duì)流程的高度可見性，以便開發(fā)人員可以安全地共同創(chuàng)新。SDLC早左移的一個(gè)陷阱是未能盡早與安全團(tuán)隊(duì)進(jìn)行強(qiáng)有力的接觸。安全團(tuán)隊(duì)必須準(zhǔn)備好與更廣泛的群體互動(dòng)，其中許多人可能在安全方面沒有太多專業(yè)知識(shí)。開發(fā)人員并不總是習(xí)慣于將安全視為開發(fā)過(guò)程的一部分。如果沒有安全團(tuán)隊(duì)的指導(dǎo)，開發(fā)人員并不總是對(duì)潛在的安全風(fēng)險(xiǎn)有深刻的認(rèn)知。這通常需要培訓(xùn)和指導(dǎo)，這給安全團(tuán)隊(duì)帶來(lái)了額外的責(zé)任負(fù)擔(dān)，并且是安全人員與組織中其他人之間潛在的摩擦點(diǎn)。DevOps安全性的情況下加快行動(dòng)速度。這給安全團(tuán)隊(duì)帶來(lái)了沉重的負(fù)擔(dān)，并使安全性成為限制快速迭代開發(fā)周期的瓶頸。安全性不僅負(fù)責(zé)保護(hù)正在開發(fā)的應(yīng)用程序，還負(fù)責(zé)保護(hù)開發(fā)工具。隨著安全左移，安全團(tuán)隊(duì)熟悉的一些工具仍然有用。其他不是為自動(dòng)化和集成到現(xiàn)代軟件開發(fā)基礎(chǔ)設(shè)施而設(shè)計(jì)的歷史遺留工具，很難在左移策略中使用。解決這些問(wèn)題需要時(shí)間。這可能會(huì)導(dǎo)致人們一直認(rèn)為安全團(tuán)隊(duì)是快速、高效的開發(fā)流程的障礙，從而破壞了安全團(tuán)隊(duì)試圖與開發(fā)和運(yùn)維團(tuán)隊(duì)建立起好的關(guān)系。為什么左移很重要客戶與服務(wù)或應(yīng)用程序的每次交互都代表著公司與客戶之間的信任是加強(qiáng)還是被破壞。隨著威脅行為者變得更加聰明和迅速，穩(wěn)定且可信的互動(dòng)變得尤為重要。在大型組織中，存在大量潛在的漏洞，其中任何一個(gè)漏洞都可能對(duì)組織構(gòu)成生存威脅。雖然正在開發(fā)的應(yīng)用程序和服務(wù)是最重要的安全目標(biāo)，但軟件開發(fā)越來(lái)越依賴第三方開源庫(kù)和軟件包，這些庫(kù)和軟件包本身可能包含漏洞。如果不能發(fā)現(xiàn)這些缺陷，它們就可能會(huì)在整個(gè)軟件流水線中一直傳播到構(gòu)建和部署階段，從而容易使應(yīng)用程序或開發(fā)環(huán)境本身受到攻擊。在開發(fā)結(jié)束時(shí)將安全性歸咎于測(cè)試過(guò)程將使整個(gè)流水線中存在漏洞。此外，工具本身可以呈現(xiàn)攻擊面。在大型組織中，安裝的工具數(shù)量可能相當(dāng)大，并且可能包括廢棄或孤立的工具，其唯一剩下的作用就是等待其漏洞被利用。將安全左移有助于安全跟上DevOps軟件開發(fā)模型的步伐，同時(shí)管理新興的漏洞和風(fēng)險(xiǎn)。將安全左移將其從煩人的后續(xù)附加轉(zhuǎn)變?yōu)樵O(shè)計(jì)約束，從而降低了修復(fù)和預(yù)防漏洞的成本和復(fù)雜性。變革策略將安全左移的好處是顯而易見的：與在瀑布式開發(fā)過(guò)程的尾聲進(jìn)行安全測(cè)試相比，更早地發(fā)現(xiàn)問(wèn)題更有效，成本也低得多。然而，為了使其發(fā)揮作用，所有相關(guān)團(tuán)隊(duì)都必須改變對(duì)安全的思考方式、彼此之間的互動(dòng)方式以及對(duì)出現(xiàn)的問(wèn)題的響應(yīng)方式。這種文化變革不是安全左移的先決條件，也不是安全左移的結(jié)果，而是一個(gè)并存的條件。文化變革推動(dòng)左移，反之亦然。您可以采取以下幾個(gè)步驟來(lái)開始旅程。定義你的策略第一步是了解安全左移對(duì)您的組織意味著什么。您必須清楚地了解成功是什么樣子，以便您的團(tuán)隊(duì)知道目標(biāo)是什么。這意味著定義角色和所有權(quán)、沿途的里程碑、衡量進(jìn)展的方法以及清晰的愿景。為了實(shí)現(xiàn)成功所需的文化變革，每個(gè)參與者都需要與共同目標(biāo)保持一致。例如，這意味著了解當(dāng)前的威脅形勢(shì)以及安全左移有何幫助。只有讓每個(gè)人都成為利益相關(guān)者，您的組織才能完成文化變革最重要的方面：讓安全成為每個(gè)人的責(zé)任。安全團(tuán)隊(duì)可以幫助其他團(tuán)隊(duì)從計(jì)劃階段開始，在編寫一行代碼之前，在整個(gè)CI/CD流水線中構(gòu)建持續(xù)的安全性。程序員在實(shí)現(xiàn)和測(cè)試每個(gè)組件時(shí)必須首先考慮安全性。良好的安全實(shí)踐必須成為每個(gè)人的第二天性。了解供應(yīng)鏈了解組織中的軟件供應(yīng)鏈可能比看起來(lái)更困難。通常，不同的業(yè)務(wù)部門使用非常不同的軟件開發(fā)流程和工具。除非組織已經(jīng)步調(diào)一致，否則很難理解每個(gè)團(tuán)隊(duì)在其構(gòu)建中包含哪些依賴項(xiàng)、哪些工具很重要、哪些工具已被放棄，以及代碼如何從各個(gè)開發(fā)人員的筆記本電腦流向CI/CD流水線。將安全左移意味著將安全融入到軟件供應(yīng)鏈的各個(gè)方面。開發(fā)人員必須在開發(fā)的每個(gè)階段更加意識(shí)到安全風(fēng)險(xiǎn)。選擇包和庫(kù)作為依賴項(xiàng)、規(guī)劃應(yīng)用程序架構(gòu)、部署環(huán)境、編寫函數(shù)和運(yùn)行測(cè)試都是具有安全影響和安全需求的過(guò)程。開發(fā)人員必須負(fù)責(zé)評(píng)估和管理這些風(fēng)險(xiǎn)，并繼續(xù)積累知識(shí)，從而使他們的工作更加安全。提供護(hù)欄不僅開發(fā)人員必須適應(yīng)新的安全思維方式。安全團(tuán)隊(duì)也必須從停下工作來(lái)排除故障或者解決問(wèn)題的守門思維轉(zhuǎn)變?yōu)榻⒆o(hù)欄，以幫助開發(fā)在更少問(wèn)題的情況下繼續(xù)行進(jìn)。通過(guò)構(gòu)建新的策略、工具和建議，安全團(tuán)隊(duì)可以幫助開發(fā)人員更安全地前進(jìn)。通過(guò)自動(dòng)化和自助服務(wù)，可以有助于開發(fā)人員自助實(shí)現(xiàn)安全性。安全工程師可以使用他們對(duì)可能發(fā)生的攻擊的廣泛知識(shí)，幫助開發(fā)人員更有效地構(gòu)建安全性。自動(dòng)化和反饋非常重要，因?yàn)樗鼈兪归_發(fā)人員能夠適應(yīng)并不斷前進(jìn)。測(cè)試自動(dòng)化工具、代碼和容器掃描工具以及自動(dòng)化集成工具減輕了開發(fā)人員的一些負(fù)擔(dān)，同時(shí)為他們提供了在開發(fā)過(guò)程早期修復(fù)問(wèn)題所需的信息，并且避免將漏洞引入最終產(chǎn)品。擁有能夠提供足夠自動(dòng)化反饋的工具非常重要，從而使安全、開發(fā)和運(yùn)維團(tuán)隊(duì)能夠不斷調(diào)整。使培訓(xùn)持續(xù)進(jìn)行當(dāng)安全成為開發(fā)人員的新責(zé)任時(shí)，他們意識(shí)到創(chuàng)建安全代碼必須采用的實(shí)踐，這時(shí)會(huì)有一個(gè)陡峭的學(xué)習(xí)曲線。第一步是評(píng)估開發(fā)團(tuán)隊(duì)的安全知識(shí)，并幫助教育每個(gè)人安全編碼實(shí)踐。安全之旅永無(wú)止境。在學(xué)習(xí)如何減輕威脅和漏洞方面，是沒有“完成”的時(shí)候的。開發(fā)人員必須持續(xù)學(xué)習(xí)作為其工作的一部分。當(dāng)安全團(tuán)隊(duì)從一開始就教導(dǎo)其他團(tuán)隊(duì)如何將安全性構(gòu)建到產(chǎn)品中時(shí)，他們也在學(xué)習(xí)，發(fā)現(xiàn)新的威脅類型和緩解威脅的新方法。隨著安全團(tuán)隊(duì)不斷地學(xué)習(xí)新知識(shí)，他們必須與開發(fā)團(tuán)隊(duì)共享這些信息，從而幫助每個(gè)人的安全實(shí)踐不斷得到發(fā)展。第3章應(yīng)用安全隨著軟件架構(gòu)的變化，應(yīng)用安全在過(guò)去幾年中不斷發(fā)展。應(yīng)用安全的主要目標(biāo)保持不變：減少漏洞和其他威脅。如今的軟件開發(fā)生命周期更快、迭代性更強(qiáng)、分布性更強(qiáng)。隨著團(tuán)隊(duì)在地理位置上分散，并且應(yīng)用組件被分離為云基礎(chǔ)架構(gòu)上的微服務(wù)，網(wǎng)絡(luò)已成為一個(gè)易受攻擊面。隨著保護(hù)應(yīng)用程序的復(fù)雜性不斷增長(zhǎng)，加快前進(jìn)的壓力也持續(xù)不斷。軟件開發(fā)的這些新現(xiàn)實(shí)就需要新的應(yīng)用安全方法。安全領(lǐng)域正在如何變化在傳統(tǒng)的單體軟件開發(fā)時(shí)代，安全主要處于邊緣位置。一旦建立了安全邊界，保護(hù)它就相對(duì)直接了。計(jì)劃、編碼和測(cè)試應(yīng)用程序是連續(xù)的階段，通常只在最后階段實(shí)施安全。在現(xiàn)代軟件開發(fā)流程中，一切都變得更加迅速。開發(fā)階段是迭代的、并行的和連續(xù)的?；A(chǔ)設(shè)施本身，曾經(jīng)代表的是需要計(jì)劃、訂購(gòu)、交付和安裝的物理硬件，現(xiàn)在變成了虛擬且可替代的。提供新硬件的過(guò)程幾乎是即時(shí)的，這意味著組織可以根據(jù)需求的變化快速進(jìn)行擴(kuò)展和收縮。單體架構(gòu)已經(jīng)讓位于微服務(wù)集合，這些微服務(wù)集合是在每天發(fā)布多次的流水線中開發(fā)的。所有這些因素加起來(lái)，在各個(gè)層面上帶來(lái)了快速而持續(xù)的變化。云基礎(chǔ)設(shè)施呈現(xiàn)出更廣泛、更復(fù)雜的攻擊面。僅在幾年前，我們還可以合理地假設(shè)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)邊界是穩(wěn)定和明確定義的，形成了一個(gè)可防御的邊界。但在云或混合環(huán)境中，這種情況不再適用。這些邊界變得模糊，存在許多可以隨時(shí)改變的訪問(wèn)和入口點(diǎn)。幾乎任何資源都可以通過(guò)少數(shù)配置更改變?yōu)楣_或私有的，并且敏感數(shù)據(jù)經(jīng)常通過(guò)公共網(wǎng)絡(luò)傳輸。容器化將單體應(yīng)用程序轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)上可用的大型服務(wù)集合，每個(gè)服務(wù)都有自己的邊界。DevOps正在將安全引入一個(gè)新模式，注重透明度、即時(shí)性、敏捷性和持續(xù)集成。安全左移在應(yīng)用程序、容器、微服務(wù)和API的流程中構(gòu)建和使用安全工具和控制，依靠自動(dòng)化來(lái)保持一致性并跟上快速的開發(fā)步伐。這種“安全即代碼”的方法，類似基礎(chǔ)設(shè)施即代碼，必須使用聲明性策略來(lái)維護(hù)所需的安全狀態(tài)，不妨礙創(chuàng)新。威脅7層）7使其難以確保安全。諷刺的是，諸如HTTPS和傳輸層安全(TLS)等安全傳輸協(xié)議實(shí)際上可以幫助攻擊者隱藏有效負(fù)載，使某些類型的攻擊更難以檢測(cè)。拒絕服務(wù)攻擊攻擊應(yīng)用層的新領(lǐng)域是一種古老的威脅：拒絕服務(wù)(DoS)攻擊。第7層攻擊相對(duì)簡(jiǎn)單且成本低廉，因?yàn)樗璧闹皇悄軌蛳驊?yīng)用程序發(fā)出HTTPS請(qǐng)求或API調(diào)用。傳統(tǒng)的防御策略在設(shè)計(jì)上使應(yīng)用程序?qū)颖┞对谶@些攻擊之下，因?yàn)樗鼈兪呛戏蛻舳耸褂梅?wù)或應(yīng)用程序的機(jī)制?，F(xiàn)代DoS攻擊通常采用以下幾種形式之一：GET和POST攻擊者通過(guò)發(fā)送大量請(qǐng)求使服務(wù)器超負(fù)荷運(yùn)行。攻擊者通過(guò)緩慢消耗資源來(lái)降低服務(wù)器的速度。TLS攻擊者通過(guò)發(fā)送無(wú)效消息占用TLS服務(wù)器資源。在GET和POST攻擊中，攻擊者發(fā)送大量請(qǐng)求，導(dǎo)致服務(wù)無(wú)法響應(yīng)真實(shí)的用戶，通常使用一組被劫持的服務(wù)器網(wǎng)絡(luò)或與互聯(lián)網(wǎng)連接的設(shè)備來(lái)進(jìn)行攻擊。在慢速攻擊中，攻擊者發(fā)送合法的請(qǐng)求，以便服務(wù)保持連接，但隨后減慢速度，占用服務(wù)器資SlowlorisTLSDoS(NAT34DoS7攻擊者變得更加老練，使用人工智能和機(jī)器學(xué)習(xí)會(huì)使他們的攻擊更難以檢測(cè)?；陟o態(tài)規(guī)則的安全性無(wú)法跟上攻擊策略的變化以及應(yīng)用架構(gòu)的變化，這些變化使新興攻擊成為可能。檢測(cè)針對(duì)應(yīng)用程序的攻擊需要對(duì)應(yīng)用程序本身的行為有深入的了解，建立基線以幫助確定哪些流量是合法的。這意味著每個(gè)應(yīng)用程序、服務(wù)和端點(diǎn)都必須單獨(dú)受到保護(hù)，并使用針對(duì)該應(yīng)用程序或服務(wù)API的定制工具。其他威脅盡管DoSSQL在某些情況下，威脅可能是由于意外而內(nèi)部產(chǎn)生的。安全控制配置錯(cuò)誤、在構(gòu)建過(guò)程中使用過(guò)時(shí)或易受攻擊的包作為依賴項(xiàng)以及不安全的設(shè)計(jì)都可能會(huì)在應(yīng)用程序中打開漏洞，而沒有人能夠意識(shí)到這些漏洞。因此，在網(wǎng)絡(luò)上的所有端點(diǎn)采用自動(dòng)化工具來(lái)提供冗余安全檢查非常重要。DevSecOps方法DevSecOps。工具和流程正在不減慢DevOps說(shuō)，轉(zhuǎn)向DevSecOps序，從而使工程師能夠在漏洞成為問(wèn)題之前發(fā)現(xiàn)它們。在這種模式下，開發(fā)人員首先要用安全的眼光審視應(yīng)用程序、服務(wù)或功能的擬議架構(gòu)。從設(shè)計(jì)的開始，重要的是要查看可用的端口和組件，要傳輸或暴露的信息以及如何在傳輸和靜態(tài)存儲(chǔ)中保護(hù)這些數(shù)據(jù)。這些問(wèn)題和其他問(wèn)題必須在早期就貫穿于整個(gè)開發(fā)流程。幸運(yùn)的是，有一些工具和技術(shù)可以幫助簡(jiǎn)化這個(gè)過(guò)程。這些包括自動(dòng)化分析工具、策略管理方法、深度防御，以及正確地使用傳統(tǒng)的安全工具。自動(dòng)分析工具人類的專業(yè)知識(shí)是無(wú)可替代的，但自動(dòng)代碼掃描和安全測(cè)試工具可以為安全問(wèn)題的搜尋帶來(lái)一致性、速度和持續(xù)性。除了代碼審計(jì)和審查之外，自動(dòng)化分析工具還有助于預(yù)防和檢測(cè)代碼庫(kù)、依賴項(xiàng)以及已部署的應(yīng)用程序或服務(wù)中的漏洞。SAST和DAST工具可以自動(dòng)檢測(cè)正在開發(fā)的應(yīng)用程序和服務(wù)中的一些安全問(wèn)題。SAST從內(nèi)到外檢查應(yīng)用程序，掃描源代碼是否存在漏洞，例如潛在注入、身份驗(yàn)證漏洞和其他可利用的缺陷。SAST發(fā)生在CI/CD流水線的早期，即在構(gòu)建應(yīng)用程序并將其部署到臨時(shí)或測(cè)試環(huán)境之前。SAST的工作原理是分析源代碼與一組編碼的符合程度，旨在提供強(qiáng)大安全保護(hù)的規(guī)則。DAST與正在運(yùn)行的應(yīng)用程序配合使用，從外到內(nèi)對(duì)其進(jìn)行測(cè)試，而無(wú)需了解源代碼或構(gòu)建代碼的框架。DAST的目的是采用攻擊者的方法，尋找通過(guò)安全漏洞進(jìn)入的途徑。DAST作為應(yīng)用程序測(cè)試的一部分運(yùn)行，通?？梢园l(fā)現(xiàn)SAST無(wú)法發(fā)現(xiàn)的編碼缺陷。盡管SAST和DAST有助于保護(hù)應(yīng)用程序代碼庫(kù)的安全，但這些工具并不能直接解決第三方庫(kù)和包中的潛在漏洞。這些上游依賴項(xiàng)可以由構(gòu)建過(guò)程直接指定，也可以由其他依賴項(xiàng)間接指定，這使得難以對(duì)所有包含的軟件包及其可能包含的漏洞進(jìn)行清單管理。軟件代碼分析有助于跟蹤依賴關(guān)系、檢測(cè)哪些組件包含已知漏洞并提供信息來(lái)幫助開發(fā)人員采取措施緩解這些漏洞。策略管理安全策略有助于保護(hù)部署應(yīng)用程序和服務(wù)的環(huán)境。安全策略的目標(biāo)是允許有效的流量、使用和請(qǐng)求，同時(shí)阻止對(duì)服務(wù)或應(yīng)用程序的威脅、濫用和惡意誤用。例如，根據(jù)API的預(yù)期合法使用對(duì)安全策略進(jìn)行建模是有意義的，以便策略管理工具可以正確執(zhí)行每個(gè)策略的目標(biāo)。通過(guò)以聲明方式管理策略，直接從API模式獲取策略，可以在安全策略中精確地表示API契約。當(dāng)模式發(fā)生變化時(shí)，策略也會(huì)相應(yīng)改變。通過(guò)這種方式，策略管理變得自動(dòng)化、可與API模式一起進(jìn)行版本控制，并在源代碼控制中進(jìn)行有效管理；由于策略是從API本身派生的，因此它實(shí)際上是以代碼形式的策略。這樣可以更輕松地為每個(gè)服務(wù)定義單獨(dú)的策略，并使用控制面板來(lái)管理它們。深度防御（DoS）IP，攻擊者可以使用加密或NAT個(gè)IP御，減少一旦攻擊者進(jìn)入系統(tǒng)后可以探索的范圍。左移傳統(tǒng)工具針對(duì)云原生架構(gòu)和基礎(chǔ)設(shè)施設(shè)計(jì)的現(xiàn)代安全工具是積極主動(dòng)和智能化的，這導(dǎo)致許多人忽視了最初設(shè)計(jì)用于保護(hù)單體應(yīng)用程序周圍簡(jiǎn)單邊界的工具。所謂的“傳統(tǒng)”工具正在不斷演進(jìn)和適應(yīng)新的生態(tài)系統(tǒng)，通過(guò)執(zhí)行運(yùn)行時(shí)安全策略，以新的方式用于保護(hù)集群、容器和微服務(wù)。WAFWAFWAFWAFWAFWAFAPICI/CDWAF第4章場(chǎng)景：文化轉(zhuǎn)變向云原生容器化架構(gòu)的遷移需要時(shí)間。許多企業(yè)仍然依賴于傳統(tǒng)的應(yīng)用程序、基礎(chǔ)設(shè)施以及瀑布式開發(fā)。安全方面，通常用一種"書擋"的模式堵兩端：在開發(fā)之初定義安全需求，在最后生產(chǎn)環(huán)境上執(zhí)行滲透測(cè)試，而中間并沒有太多的安全措施。領(lǐng)導(dǎo)層明白這種方法無(wú)法擴(kuò)展，但轉(zhuǎn)向DevSecOps頗為復(fù)雜，需要改變不同團(tuán)隊(duì)之間的關(guān)系。通常，企業(yè)會(huì)首先在開發(fā)流程中建設(shè)靜態(tài)代碼分析和組成分析工具。這雖然可以在流水線上構(gòu)建安全機(jī)制，但卻不是一個(gè)全面的解決方案。保護(hù)代碼的責(zé)任仍然完全由安全團(tuán)隊(duì)承擔(dān)。他們可以向開發(fā)人員提供反饋，但這種關(guān)系并不像真正的DevSecOps那樣具有協(xié)作性。只有實(shí)現(xiàn)真正的文化轉(zhuǎn)變，讓每個(gè)人都落實(shí)安全性，才能有可能保證端到端的安全。其結(jié)果是能夠在從設(shè)計(jì)到運(yùn)行的整個(gè)流水線中部署各種工具，包括傳統(tǒng)的安全工具。DoSWAF等工實(shí)例：歐洲某大型銀行（VM）采用自動(dòng)化勢(shì)在必行，如何實(shí)現(xiàn)卻在內(nèi)部產(chǎn)生了很大的阻力。安全部沒有購(gòu)買工具的預(yù)算，應(yīng)用程序開發(fā)人員不想承擔(dān)CI/CD流水線的負(fù)擔(dān)，網(wǎng)絡(luò)團(tuán)隊(duì)不想搞中央自動(dòng)化進(jìn)而可能影響其他所有團(tuán)隊(duì)。更沒有人愿意為其他人承擔(dān)管理工具的工作。但與此同時(shí)，卻沒有人愿意失去人員、權(quán)力或預(yù)算，結(jié)果就是一場(chǎng)內(nèi)部的冷戰(zhàn)。DevSecOpsWAFRESTfulAPI實(shí)例：澳大利亞某銀行在世界各地，銀行業(yè)都會(huì)受到嚴(yán)格監(jiān)管，且競(jìng)爭(zhēng)激烈。而客戶有時(shí)會(huì)根據(jù)響應(yīng)貸款申請(qǐng)的速度來(lái)選擇銀行。這種快節(jié)奏促使云原生架構(gòu)的加速推廣，從而方便服務(wù)更多面客渠道和應(yīng)用系統(tǒng)。而內(nèi)部面臨的最大挑戰(zhàn)是如何快速將應(yīng)用程序投入生產(chǎn)。過(guò)去那種應(yīng)用開發(fā)動(dòng)輒幾個(gè)月，最后才進(jìn)行測(cè)試的時(shí)代已經(jīng)一去不復(fù)返了。為了減少交付阻力，團(tuán)隊(duì)正在向云遷移，努力將基礎(chǔ)設(shè)施和安全作為代碼來(lái)管理，從而實(shí)現(xiàn)發(fā)布自動(dòng)化。面對(duì)這樣的轉(zhuǎn)變，澳大利亞一家著名銀行的安全團(tuán)隊(duì)很快就意識(shí)到，還用把關(guān)的方式在云上行不通。在內(nèi)部部署的基礎(chǔ)設(shè)施中，安全團(tuán)隊(duì)擁有很大的控制權(quán)，而云上則不同，它可以讓開發(fā)團(tuán)隊(duì)在安全團(tuán)隊(duì)不知情或不參與的情況下啟動(dòng)任何他們需要的東西。為了繼續(xù)為組織提供價(jià)值，安全團(tuán)隊(duì)明白他們需要與其他團(tuán)隊(duì)密切合作。在向云遷移的推動(dòng)下，安全團(tuán)隊(duì)在應(yīng)用程序運(yùn)行環(huán)境中管理WAF等工具更加積極，還為流水線建立了設(shè)計(jì)和構(gòu)建變更的反饋途徑。安全團(tuán)隊(duì)幫助管理WAF等工具的配置及其他策略代碼化，使發(fā)布變得更容易。結(jié)果是團(tuán)隊(duì)之間的合作更加融洽，幫助銀行在瞬息萬(wàn)變的市場(chǎng)中更有效地競(jìng)爭(zhēng)。實(shí)例：某能源公司在許多企業(yè)中，應(yīng)用程序開發(fā)人員與其他團(tuán)隊(duì)之間的分歧是文化變革中的主要障礙。歐洲的一家大型能源公司正面臨著更多分歧。該公司是一家公私合營(yíng)企業(yè)，其目標(biāo)往往是分裂的。私營(yíng)企業(yè)掌握著錢袋子，通常是決策者。而對(duì)公民負(fù)責(zé)的公營(yíng)部門則受到法規(guī)和官僚主義的束縛。這使得向DevSecOps轉(zhuǎn)型尤其具有挑戰(zhàn)性，因?yàn)榘踩笠粕婕傲撕芏鄨F(tuán)隊(duì)之間的緊密合作。此外，決策者往往不是技術(shù)人員，有時(shí)他們很難看到技術(shù)方案的價(jià)值。事實(shí)上，在流程開始時(shí)，公司還沒有采用虛擬機(jī)，而是在裸機(jī)服務(wù)器上運(yùn)行。采用云原生DevSecOps的主要障礙是惰性。許多人希望保持他們認(rèn)為的行之有效的現(xiàn)狀。DevSecOps的故事很難在公司內(nèi)部推銷給那些不想失去權(quán)力或預(yù)算，不了解技術(shù)，不關(guān)心RESTAPI和自動(dòng)化等功能的人。公司知道自己必須適應(yīng)時(shí)代的發(fā)展，但官僚主義和惰性讓他們?cè)靥げ?，沒有變革的路線圖。最終，公司遇到了現(xiàn)有工具的限制，不得不尋求新的解決方案。DevSecOpsWAF實(shí)例：某通訊公司電信行業(yè)一直在變化。隨著帶寬已成為一種商品，電信公司必須在不放棄支持網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)交付和其他IT目標(biāo)的同時(shí)，通過(guò)拓展附加產(chǎn)品來(lái)保持競(jìng)爭(zhēng)力。向5G的過(guò)渡正加速迫使電信公司適應(yīng)并采用云原生架構(gòu)。電信公司的文化變革有時(shí)比銀行或能源公司更快，因?yàn)榘踩珗F(tuán)隊(duì)的規(guī)模較小。電信公司的安全團(tuán)隊(duì)可能有30