理解 DevSecOps 的重要性

关键要点

近期，公司各部门对 DevSecOps 的概念产生了一些混淆。

当 DevSecOps 运作良好时，DevSecOps 将最佳安全实践整合到 DevOps 过程中。这种整合通过利用敏捷开发概念与自动化手段，加快通过代码推出新服务的速度。值得注意的是，这种整合需要发布工程师与安全团队的协作，以消除各部门孤岛效应，从而避免在新解决方案的持续创建过程中形成瓶颈。

DevSecOps 方法最大的优势在于，它引入了一种新的开发思维，使得组织中的每个人都对安全编码负责， 通过将“安全思维”融入整个变更过程中，从高层管理到单个团队都能感受到安全的重要性。这种普遍的方式有助于弥合 IT 和安全团队之间的差距，同时促进更快更安全的方法来产生新业务服务。然而，增强的敏捷性、快速的变更响应和早期代码漏洞识别需要相应的工具来支持以下功能，以确保 DevSecOps 的有效性：持续监控；安全缺陷扫描；攻击检测；以及变更管理和治理。

针对上述项目的安全测试必须保持一致，但也需要迭代，以防减缓代码开发和交付周期。然而，在开发过程中进行手动安全检查可能会造成显著的交付延迟。因此，安全团队必须实施自动化流程，以确保任何成功的 DevSecOps 项目，特别是在处理像 SAP 这样复杂的应用时。

自动化 SAP DevSecOps

SAP 在全球企业中占据非常重要的地位。SAPcom 指出 SAP 客户创造了全球商业总额的 8746 万亿美元，全球 100 大公司中有 99 家是 SAP 客户，全球 100 家最大公司的 85 家使用 SAP S/4HANA。考虑到这些 SAP 安装的规模和重要性，公司需要从开发的第一步就考虑代码安全问题。

然而，SAP 也带来了挑战，因为它没有提供原生工具来验证源代码的安全缺陷。此外，它是一个由紧密集成的数据库和应用层构成的单体系统。因此，开发者在同一代码集中进行协作时往往面临困难，通常几乎没有时间去审查自定义代码或传输。

为了避免耗时的问题，必须使用第三方软件工具对可能存在的易受攻击源代码进行扫描，例如识别那些可能导致 SQL 注入、跨站脚本或缺失授权检查的漏洞。当处理像 SAP 这样复杂的应用时，这些额外的软件工具必须配备代码漏洞分析器，以补充标准的 SAP 系统，并与 SAP 开发 IDE 集成。从代码生产的初始阶段开始分析漏洞在协作团队启用的敏捷环境中能确保新业务功能的部署不会存在严重的安全缺陷。在开发阶段自动化安全检查，确保代码能够迅速通过测试阶段。从那时起，应用质量门作为保障，防止 SAP 传输管理系统在没有适当安全验证的情况下移动源代码。

在产生新的 SAP 业务功能时，采用 DevSecOps 理念将确保安全性从代码生产的最开始就成为首要任务。重要的是要培养并遵循敏捷流程，横跨任何垂直开发孤岛，以便团队在协作环境中向前迈进。为了确保代码生产的速度和质量，团队必须对 SAP 安全设置进行自动化分析，以便在新业务代码进入“上线”阶段时提供安全对话。

值得注意的是，安全团队应把上线阶段视为 DevSecOps 循环的结束；这一阶段只是将任务移交给“保持系统运行”KSR团队。必须继续关注 SAP 的 DevSec