11、信息安全领域的关键要点与实践建议

信息安全领域的关键要点与实践建议

1. DevSecOps：持续安全成为必然

在信息安全行业工作二十年后，技术债逐渐积累，促使人们去了解 DevOps 的热潮。在参加 DevOps 运动十周年活动时，了解到持续安全的重要性，即要从被动安全思维转变为主动方法，为业务创造价值并增强其韧性。

1.1 传统安全审计的问题

传统的安全审计通常在代码完成后进行，依据预定义的要求列表检查。审计团队会出具数百页的 PDF 报告，高层管理者往往只看执行摘要和结论，而审计结果要再过几周才会进入待办事项。这种方式不仅无法为公司目标增加价值，还可能导致资金损失，因为它无法及时区分安全代码和未批准代码，进而延迟新功能发布，甚至可能导致不安全的应用程序被发布到网络中。

1.2 DevSecOps 的应对策略

为了适应新的安全挑战，根据 DevSecOps 宣言，安全和合规性应作为代码实现，并且要易于快速使用以促进创新。具体而言，安全必须集成到持续集成和持续交付（CI/CD）软件管道中，实现漏洞评估的分散化和自动化，如安全和动态应用程序安全测试（SASTs 和 DASTs）。同时，信息安全团队应赋予开发和运维团队在开发过程的早期快速修复代码的能力，这就是“左移”概念的核心，即“谁构建，谁负责安全”。

1.3 云原生安全的四个层次

云原生安全包括四个层次，即 4C：
1. 代码安全 ：确保代码本身的安全性。
2. 容器安全 ：对于有主机安全经验的专业人员来说，容器安全相对容易学习，可以从 Docker 文档中心开始。