代码英雄(CommandLineHeroes)是世界领先的企业开源软件解决方案供应商红帽(RedHat)精心制作的原创音频播客,讲述开发人员、程序员、黑客、极客和开源反叛者如何彻底改变技术前景的真实史诗。该音频博客邀请到了谷歌、NASA等重量级企业的众多技术大牛共同讲述开源、操作系统、容器、DevOps、混合云等发展过程中的动人故事。
本文是《代码英雄》系列播客第二季第五集:关于DevSecOps的故事的音频脚本。
导语:不良的安全和可靠性实践会导致影响数百万人的中断。现在是时候让安全加入DevOps运动了。并且,在DevSecOps的世界中,我们可以创造性的提升安全性。
每月发现一个漏洞曾经是常态。而现在,由于敏捷流程和DevOps团队,软件开发的进展迅速。VincentDanen告诉我们,这如何导致被认为是漏洞的东西急剧增加。前亚马逊灾难主管JesseRobbins介绍了公司如何为灾难性故障和漏洞做好准备。而Elastic的产品安全主管JoshBressers则展望了科技领域安全的未来。
我们不应该把安全团队当成脾气暴躁的妖怪。听听DevSecOps团队如何将英雄们聚集在一起,以实现更好的安全。
1991年6月26日,在华盛顿特区,马里兰州和西弗吉尼亚州的大部分地区,以及我的家乡的大部分地区都因公共电话网络的大规模故障而瘫痪了。然而,随着技术变得越来越复杂,网络系统越来越相互依存,反复发生故障的可能性也会增加。似乎并没有警告说会发生这种情况。
在20世纪90年代初,有1200万美国人遭受了大规模的电话网络故障。人们不能给医院打电话,企业不能给客户打电话,父母不能打电话给托儿所。对于一个基础设施严重依赖于万物互联的计算机系统的国家来说,这是一场混乱也是一记警钟。这些计算机网络变得越来越大,然后当它们出现故障时,故障时间就会很长。
电脑故障会导致电话系统崩溃。在今天代码中的一行小错误的后果比以往时候都要严重。
我是SaronYitbarek,这里是是红帽公司的原创播客节目《代码英雄》。
因此,软件安全性和可靠性比以往任何时候都重要。传统的瀑布式开发方法,安全性只是一个附加流程而已,已经不再适用。我们生活在一个DevOps的世界里,一切都变得更快、更敏捷、扩展性更强,这在电话网络崩溃时是他们无法想象的。这意味着我们的安全和可靠性标准必须不断改进,以应对这些挑战。
在本集中,我们将研究如何将安全性集成到DevOps中,我们还将探索在运营中构建可靠性和弹性的新方法。即使在介绍了所有这些之后,我们知道还有很多东西可以讨论,因为在DevSecOps的世界里,对于开发人员和运营人员来说,事情都在快速变化。这些变化意味着不同的事情,这取决于你的立场,但这是我们的看法。我们也很想听到你们的消息——所以如果你认为我们错过了什么,不要害羞——在网上联系我们。
好了,让我们开始探索这个全新的领域吧。
事情就是这样,让安全性和可靠性跟上时代的步伐,并为DevOps世界做好准备,这意味着我们必须对工作方式进行一些关键的调整。第一,我们必须拥抱自动化。我的意思是,想想双因子认证的逻辑。想想那些难以想象的艰巨任务吧。很显然,你不能仅仅通过增加员工来解决问题,所以第一点就是拥抱自动化。
然后,第二点,这个可能不是那么明显,那就是它真的改变了文化,使安全不再是一个祸害。稍后我将解释我所说的改变文化的含义。但是让我们一个一个的解释这两点。首先,拥抱自动化。
以前,应用程序的部署在每个单独的发布之前都涉及到一个人为的安全审查,我不知道你是否注意到了,但是人为的审查可能会有点慢。这就是为什么自动化是在DevOps构建安全性的关键部分。以Verizon最近的数据泄露报告为例。他们发现,81%的与黑客相关入侵涉及密码被盗或者弱密码。从表面上看,这是一个非常简单的问题,但是规模却很大。就像我之前所提及到的,你不能用工作人员去解决3000万个密码问题,对吧?问题在于解决大规模问题,而每次的答案都是一样的。那就是自动化,自动化。
如果你等待人参与进来,那么规模就不会扩大。
VincentDanen是红帽公司产品安全部门的主管,在过去的20年里,他见证了DevOps的快速发展。安全团队不得不竞相追赶。
刚开始的时候,每个月都有漏洞,后来变成了每隔一周,然后是每周都有。现在,每天都能找到几百个漏洞。
有趣的是,Vincent说,随着安全团队的发展,实际上会出现更多的漏洞,而不是更少。
我们永远不会说,哦,我们现在安全了,我们做完了,我们的工作结束了。安全审计会一直存在,就像呼吸一样,这是必须要有的。
事实证明,对于安全性和可靠性团队来说,细节的问题变得越来越重要。
当我们在寻找这些漏洞时,我们会发现更多的东西,而且这个趋势还将继续。因为你会发现新的漏洞类型和一些我们可能认为不太重要的东西,或者以前甚至不知道它们存在的东西。我们会发现这些东西发展的速度很快,而且数量更多,因此规模爆炸性增长。知识、软件的数量、消费者的数量都促进了该领域安全性以及漏洞的增加。
一旦你将安全视为一个不断发展的问题,而不是随着时间的推移而“得到解决”的问题,那么自动化的理由就会变得更加充分。
嗯,我认为有了自动化,你可以以一种非常快的方式将这些东西集成到你的开发流水线中,这是其一。其二,你不需要人类来做这些工作,对吧?计算机不需要睡觉,所以你可以在处理器允许的情况下以最快速度浏览代码,而不是等待人类通过一些可能相当乏味的命令行来查找漏洞。
然后通过模式匹配和启发式方法,甚至在开始编写代码的时候,你就可以知道代码中那些地方是易受攻击的。如果在你编写代码的时候,在你的IDE或者工具中有一个插件,它能告诉你。嘿,这看起来有点可疑,或者你刚刚引入了一个漏洞。在你提交代码之前你都可以纠正这些可疑点或者漏洞。
安全在进步。这真是一笔巨大的奖励。
每一天,甚至每一小时,都会有很多东西涌现出来。通过持续集成和持续部署,你写了代码,10分钟后它就被部署了。因此,在代码被推送之前自动进行验证是非常关键的。
我们可以使用各种各样的工具来完成这个任务,不管是静态代码分析,还是IDE的插件,或者是一大堆其他选项。我们将在redhat.com/commandlineheroes上分享一些我们最喜欢的片段。
一旦我们有了这些工具,它们将帮助我们把安全放在首位。结果就是,DevOps被重新定义为DevSecOps。安全被纳入到流程中。
就像开发人员和运维人员结合的方式一样,你将这两个规则合成到了一个规则。现在,你有了DevOps,并将安全这第三个组件与开发和运维集成到一起,我认为这非常重要。因为事后才考虑安全性,这会使安全性变得非常被动、昂贵以及可能会损害消费者。当你一开始就把安全代入其中,你就可以完成开发工作,从头到尾进行安全检查并开始运作。
自动化确实让我们做到了一半,但我们必须记住另一部分——稍微模糊一点的那一部分。让我们一起来说,那就是文化部分,让开发者和运维人员都一起参与进来,这样这些问题就不再是可怕的问题。
我们必须改变一种文化,而有些人正在学习以一种最不痛苦的方式,通过游戏的方式来做到这一点。
现在让我们来看看事情的另一面。如今建立庞大的基础设施很容易,但这并不意味着我们应该做粗制滥造的工作。我们仍然应该努力改进我们的系统,确保可靠性,未雨绸缪。这就是JesseRobbins正在努力实现的。
如今,Jesse是OrionLabs的CTO,但在此之前,他因在亚马逊被称为灾难大师而名声大噪。在那里,Jesse特别是在让大家至少意识到这些问题这件事上几乎是个奇才。他通过一个叫做“游戏日”的活动来做到这一点。让其中可能涉及成千上万的员工进行故障演练,通过灾难演练来习惯系统被破坏并了解发生的原因和方式。
我最近和一些人讨论了一个概念,他们利用用户行为来决定用户是否应该能够访问系统。每个人都有特定的行为,比如他们来自哪里,他们访问系统的时间,他们打字的方式,他们移动鼠标的方式。所以我认为,如果我们做得好,他们的这些行为,可以产生一些非常强大结果,如果我们能做到这一点,我们可以注意到有人在做什么。然后假设我表现的很奇怪,因为我刚刚扭伤了手臂。但你知道,另一端并不知道。
因此,它可能会说,这种行为就有些奇怪,我们就会希望你使用双因子认证登录,并且还会向您发送条短信或其他内容,对吧?这就从用户名和密码变成了更有趣的东西。所以我认为用新的和独特的方式来看待这些问题将是关键。在很多情况下,我们只是还没到那一步。
实现这一目标需要我们所描述的两大步骤。第一步,就是自动化,这很重要,因为……
人类很不擅长重复地做同一件事。
很公平。然后,我们有了第二步,就是文化,无论我们的职称是什么,我们所有人都有不安全感和责任感。
当大多数人想到安全团队时,他们不会认为那是一群快乐的好好先生,对吧?一般来说,这些人都很可怕,脾气暴躁,令人讨厌,如果他们出现了,就会毁了你的一天。没有人想要这样,对吧?
但我认为我们可以克服这种偏见,因为我们必须这样想——每天都有更多的安全威胁发生,而且IT基础设施每天都在变得更大、更强。把这两个事实放在一起,你最好可以生活在一个被安全环绕的世界里。一个非常DevSecOps的世界,在这个世界里,开发人员和运营人员都在提升他们的安全,提高他们的可靠性。我所谈论的是一个自动化被整合到每个阶段的未来,每个人对这些问题的态度变得更加全面。这就是我们保护未来系统安全的方法。这是我们保持电话响,灯开,所有现代生活健康强壮的方法。如果你查一下《福布斯》全球2000家公司的名单,也就是前2000家上市公司,你会发现其中整整四分之一的公司都采用了DevOps。集成的敏捷工作场所正在成为规则。并且在几年之内,关于DevSecOps的思考可能会成为第二天性。我们希望尽可能快,但是当团队中的每个成员都齐心协力时,长距离比赛实际上会更快。
IT解决方案
产品品类:
LINUX 平台:
红帽企业Linux、红帽 JBoss 企业应用平台、红帽 OpenStack 平台、红帽虚拟化
红帽中间件:
加速:红帽运行时、红帽集成、红帽流程自动化、红帽中间件产品组合、红帽 JBoss-企业应用平台、红帽 JBoss-Web 服务器、红帽-数据网格、红帽-OpenShift 应用运行时、红帽-CodeReady Studio
集成:红帽Fuse、红帽Fuse 在线版、红帽AMQ、红帽3scale API 管理
自动化:红帽决策管理器、红帽流程自动化管理器
虚拟化平台:
红帽虚拟化、红帽超融合基础架构
云计算:
红帽云解决方案套件、红帽超融合基础架构、红帽 OpenShift、红帽 OpenStack 平台、红帽 Quay
应用开发:红帽 CodeReady Studio、红帽 CodeReady Workspaces、红帽 JBoss 企业应用平台、红帽 OpenShift、红帽中间件产品组合
存储:红帽 OpenShift 容器存储、红帽 Ceph 存储、红帽超融合基础架构、红帽 Gluster 存储、自动化和管理、红帽认证系统、红帽OpenShift 应用运行时、红帽目录服务器、红帽OpenShift 容器平台、红帽Quay
管理:红帽智能管理、红帽卫星、红帽Ansible 自动化平台、红帽智能分析、红帽高级集群管理
套件:红帽云解决方案套件
产品品牌:
红帽Redhat
主题:
API、自动化、大数据、云计算、云原生应用、容器、数据存储、DevOps、边缘计算、集成、物联网、IT 管理、Linux、微服务、中间件、移动、OpenStack、安全防护、虚拟化
解决方案:
混合云基础设施、云原生开发、自动化和管理、IT 优化、敏捷集成、什么是混合云?为什么选择红帽云?什么是 Kubernetes?为什么选择红帽容器?什么是 Linux 容器?什么是容器安全性?云安全性有什么不同之处?为什么选择红帽实施微服务?为什么选择红帽管理 API?什么是 CI/CD?红帽企业 Linux 开发人员计划、红帽卫星常见问题、迁移至红帽企业 Linux、升级至最新版本红帽企业 Linux、了解 Linux 容器、红帽企业 Linux 博客、Fedora 社区项目、了解中间件、JBoss 开发人员社区版或企业版、实现应用基础架构迁移和现代化、理解现代应用开发、了解大数据、“红帽中间件”博客、JBoss 开发人员社区、集成应用、数据和流程、集成类博文、什么是集成?、什么是 API?、敏捷集成、了解自动化、BPM 与决策管理器:助您基业长青、了解物联网、了解虚拟化、了解网络功能虚拟化(NFV)、了解 DevOps、了解物联网、虚拟化博文、oVirt 社区、了解云、红帽云接入、了解 OpenStack、了解 Linux 容器、了解 DevOps、红帽堆栈:OpenStack 博客、红帽 OpenShift 博客、CloudForms Now 博客、RDO 社区、OpenShift Origin 社区、红帽卫星常见问题、了解 IaaS、、ManageIQ 社区、Ceph 社区、了解大数据、了解物联网、存储博客、Gluster 社区、Ceph 社区、了解数据存储、红帽卫星常见问题、红帽认证、红帽rhce认证、红帽linux、红帽RHCE、红帽是什么
更多详情请咨询:
成都科汇科技有限公司
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
QQ: 1325383361
手机:180 8195 0517(微信同号)
