0x00 前言

SDL存在的問題在于體量過于龐大，不利于快速進(jìn)行適配和進(jìn)行，所以就有了DevSecOps，實(shí)際上是因?yàn)槊艚蓍_發(fā)也就是DevOps的推進(jìn)，并且坐上了云服務(wù)模式的火車，所以這一系列的東西都開始普及。DevSecOps作為DevOps補(bǔ)充的一環(huán)，處于一個(gè)重要的內(nèi)嵌位置，徹底的落實(shí)安全的融合，以及自動(dòng)化完整的特性。基本上只要涉及到頻繁上線，多次編排的模式都可以采用DevSecOps融合的方式來維護(hù)更高的安全性。

因?yàn)楸疚氖腔谀壳拔易陨淼恼J(rèn)知所成，如有描述不妥，或者描述不完整的地方，還請指出斧正。

0x01 概述

下圖是DevSecOps的流程嵌入圖

整個(gè)體系內(nèi)容包括如下：

• 計(jì)劃
• 創(chuàng)建
• 驗(yàn)證
• 預(yù)發(fā)布
• 檢測
• 響應(yīng)
• 預(yù)測
• 適應(yīng)

0x02 計(jì)劃

• 安全建模
• 培訓(xùn)
• 確定流程

這一個(gè)階段其實(shí)可以看做是SDL的培訓(xùn)和要求，設(shè)計(jì)融合產(chǎn)物

0x03 創(chuàng)建

這里的創(chuàng)建實(shí)際上就是運(yùn)行時(shí)的環(huán)境檢查，包括開發(fā)軟件環(huán)境，實(shí)施檢測，開源第三方引用也可以放在這個(gè)階段來進(jìn)行。

0x04 驗(yàn)證

驗(yàn)證就是需要在流水線上進(jìn)行自動(dòng)化的驗(yàn)證，通過集成多種檢測工具，比如SonarQube，Depend-track，IAST，DAST動(dòng)態(tài)檢測，當(dāng)然fortify和codeQl都可以放在這一層進(jìn)行檢測。

0x05 預(yù)發(fā)布

• 混沌測試，完整內(nèi)容的整體測試，通過工具以及人工測試
• Fuzzing 測試
• 集成測試

0x06 持續(xù)檢測

持續(xù)監(jiān)控就是在快速構(gòu)建完整，并且運(yùn)行起來之后進(jìn)行的持續(xù)檢測內(nèi)容，主要采用的是

• RASP
• 網(wǎng)絡(luò)監(jiān)控

通常都是利用隨時(shí)檢測技術(shù)來進(jìn)行事實(shí)的監(jiān)控。

0x07 響應(yīng)

這里的響應(yīng)和SDL實(shí)際上是非常相似的過程，不過基于云的特性，不再有補(bǔ)丁流程，而是直接走構(gòu)建，測試，然后直接合并運(yùn)行的特點(diǎn)，少了補(bǔ)丁維護(hù)的問題，但是需要更強(qiáng)大的漏洞管理流程

其次就是增加，威脅情報(bào)系統(tǒng)，安全自動(dòng)化工具，還有底層的防護(hù)工具。

0x08 預(yù)測

這里的預(yù)測的范圍非常廣包括，漏洞情報(bào)，威脅情報(bào)，提前預(yù)測管理等內(nèi)容

0x09 適應(yīng)

根據(jù)環(huán)境的變化修改應(yīng)急方案，修復(fù)方案，以及防護(hù)的方案。

0x10 總結(jié)

具體的實(shí)施還是需求根據(jù)環(huán)境的變化來進(jìn)行變化，從而進(jìn)行調(diào)整達(dá)到和企業(yè)的適配程度，從基層開始提高安全程度。

補(bǔ)充知識(shí)

SDL介紹

SDL是Simple DirectMedia Layer（簡單直接媒體層）的縮寫，是一個(gè)跨平臺(tái)的多媒體庫，它提供了一個(gè)簡單的API，允許開發(fā)者輕松地使用音頻、視頻、輸入設(shè)備和圖形硬件等多媒體資源。SDL最初是為游戲開發(fā)而設(shè)計(jì)的，但它的高效性和跨平臺(tái)特性使其也被廣泛應(yīng)用于其它領(lǐng)域，如圖像處理、模擬器等。SDL支持的平臺(tái)包括Windows、Linux、Mac OS X、iOS、Android等。SDL是Simple DirectMedia Layer（簡單直接媒體層）的縮寫，是一個(gè)跨平臺(tái)的多媒體庫，它提供了一個(gè)簡單的API，允許開發(fā)者輕松地使用音頻、視頻、輸入設(shè)備和圖形硬件等多媒體資源。SDL最初是為游戲開發(fā)而設(shè)計(jì)的，但它的高效性和跨平臺(tái)特性使其也被廣泛應(yīng)用于其它領(lǐng)域，如圖像處理、模擬器等。SDL支持的平臺(tái)包括Windows、Linux、Mac OS X、iOS、Android等。

DevSecOps介紹

DevSecOps是一種軟件開發(fā)流程的方法論，將安全性集成到DevOps流程中，以確保在代碼編寫、構(gòu)建、部署和維護(hù)過程中的安全性。它強(qiáng)調(diào)了團(tuán)隊(duì)成員的跨職能性和協(xié)作，旨在創(chuàng)建安全的軟件系統(tǒng)。DevSecOps的目標(biāo)是使安全性成為軟件開發(fā)和交付過程的一部分，而不是在系統(tǒng)部署后才考慮安全性，以減少安全漏洞和風(fēng)險(xiǎn)，保護(hù)客戶和企業(yè)數(shù)據(jù)。DevSecOps是一種軟件開發(fā)流程的方法論，將安全性集成到DevOps流程中，以確保在代碼編寫、構(gòu)建、部署和維護(hù)過程中的安全性。它強(qiáng)調(diào)了團(tuán)隊(duì)成員的跨職能性和協(xié)作，旨在創(chuàng)建安全的軟件系統(tǒng)。DevSecOps的目標(biāo)是使安全性成為軟件開發(fā)和交付過程的一部分，而不是在系統(tǒng)部署后才考慮安全性，以減少安全漏洞和風(fēng)險(xiǎn)，保護(hù)客戶和企業(yè)數(shù)據(jù)。

SDL和DevSecOps的比較

SDL（Security Development Lifecycle）和DevSecOps都是與軟件開發(fā)和安全有關(guān)的方法論，但它們有不同的重點(diǎn)和目標(biāo)。

SDL是一種按照安全最佳實(shí)踐整合到軟件開發(fā)生命周期中的流程。它著重于在軟件開發(fā)的早期階段就識(shí)別和處理潛在的安全問題，以降低在后期開發(fā)和維護(hù)中出現(xiàn)安全漏洞的風(fēng)險(xiǎn)。SDL包括多個(gè)階段，包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)、測試和部署等，每個(gè)階段都有特定的活動(dòng)和文檔來確保軟件的安全性。

DevSecOps則是一種將安全性嵌入到整個(gè)軟件開發(fā)流程中的方法。它強(qiáng)調(diào)通過自動(dòng)化和協(xié)作來促進(jìn)快速、持續(xù)和安全的軟件發(fā)布。DevSecOps的目標(biāo)是打破安全和開發(fā)之間的壁壘，使安全團(tuán)隊(duì)可以快速響應(yīng)開發(fā)團(tuán)隊(duì)的需求，并將安全性納入到自動(dòng)化的構(gòu)建、測試和部署流程中。

總的來說，SDL注重整個(gè)軟件開發(fā)生命周期中的安全性，而DevSecOps則更加注重集成安全性到整個(gè)軟件開發(fā)流程中。兩種方法都是很有用的，具體的應(yīng)用需要根據(jù)具體項(xiàng)目的需求和情況來決定。SDL（Security Development Lifecycle）和DevSecOps都是與軟件開發(fā)和安全有關(guān)的方法論，但它們有不同的重點(diǎn)和目標(biāo)。

SDL是一種按照安全最佳實(shí)踐整合到軟件開發(fā)生命周期中的流程。它著重于在軟件開發(fā)的早期階段就識(shí)別和處理潛在的安全問題，以降低在后期開發(fā)和維護(hù)中出現(xiàn)安全漏洞的風(fēng)險(xiǎn)。SDL包括多個(gè)階段，包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)、測試和部署等，每個(gè)階段都有特定的活動(dòng)和文檔來確保軟件的安全性。

DevSecOps則是一種將安全性嵌入到整個(gè)軟件開發(fā)流程中的方法。它強(qiáng)調(diào)通過自動(dòng)化和協(xié)作來促進(jìn)快速、持續(xù)和安全的軟件發(fā)布。DevSecOps的目標(biāo)是打破安全和開發(fā)之間的壁壘，使安全團(tuán)隊(duì)可以快速響應(yīng)開發(fā)團(tuán)隊(duì)的需求，并將安全性納入到自動(dòng)化的構(gòu)建、測試和部署流程中。

總的來說，SDL注重整個(gè)軟件開發(fā)生命周期中的安全性，而DevSecOps則更加注重集成安全性到整個(gè)軟件開發(fā)流程中。兩種方法都是很有用的，具體的應(yīng)用需要根據(jù)具體項(xiàng)目的需求和情況來決定。