如何实现网络安全：通过Intelligent Orchestration将安全内置于DevOps中

现代软件开发具有更多的代码、语言、平台以及部署选项。 DevOps要求自动化、尽可能地提高速度。而这些都意味着更多的安全风险。

那么，如何将安全置于DevOps之中呢？

在不影响速度的情况下为DevOps增加安全

从切实降低风险的角度出发，从整体上解决安全问题的理想方法是什么？答案是更高效的自动化。开发人员不必在每次更改代码时都运行全面扫描，而是根据上下文使用智能测试，并决定要运行的内容、运行时间以及运行方式。

将策略当作代码

策略很重要。要求所有应用程序开发团队使用静态分析是一种简单但无效的软件安全策略。更有效的策略应该根据需要指定要使用的工具、所需的配置，最重要的是，可以指定在发布应用程序之前所需的结果类型。

阐明策略的好方法是采用机器可读文件的形式，有时将其称为代码（我实际上并没有将其称为代码；它实际上是一个配置文件，可能是JSON或YAML）。

DevSecOps中安全层的关键功能

这里的“策略”描述了应该进行哪些测试、规定需要什么样的结果（或将停止构建或部署）、将什么样的结果发送到常规问题追踪系统、需要进行哪些合规性活动等等。可以有多个策略，每个策略反映不同类型的应用程序和不同类型的风险状况。

根据策略的规定在开发管道中的特定事件上执行相应的测试，但是针对项目的当前状态进行了优化。安全层处理与工具的集成。

与安全层的轻量级集成发生在特定事件（例如合并请求）上。安全层旨在简化集成。

什么时候应该做安全防护呢？在发生代码仓提交或代码仓合并请求之类的事件时，管道会要求安全层执行安全测试。安全层可以发挥一些强大的魔力，我们称之为Intelligent Orchestration。首先，它参考策略来了解哪种安全测试是适合的。根据策略，安全层可以优化测试的执行方式。例如，如果开发人员刚刚对CSS文件进行了更改，那么Intelligent Orchestration会意识到完整的SAST扫描和SCA扫描是不必要的。对于更改特定模块中的几个Java源文件，可以执行增量SAST以优化速度。

那是否合规呢？开发管道可以要求安全层对项目是否合规做出判断。

为未来做好准备

软件安全是一个蓬勃发展的领域。如果您试图建立DevSecOps策略，那么确定所需的工具和流程可能会面临挑战。有了安全层，您开发过程中的集成就不需要更改。您只需要从安全层集成到新工具，然后调整策略即可。