企業如今面臨日益嚴重的網絡威脅，安全自動化將為企業IT團隊提供幫助。

關于安全性的一個棘手問題是，這就像是“打鼴鼠”的游戲。一次性處理可能很簡單，因為許多漏洞可以修補，并且企業可能已經制定了使用安全應用程序的流程。而困難的是，有太多的“鼴鼠”，沒有太多時間來確保系統安全，而人工處理過程很繁瑣，因此需要實現安全自動化。

安全自動化的5種有意義的方法

對于實現安全自動化，企業可以了解對企業具有意義的五種方法。

（1）了解對企業重要的事情

許多安全工具可以集成到自動化流程中，例如持續集成（CI）／持續交付（CD）管道。以這種方式集成安全性通常被稱為DevSecOps。DevSecOps是組織擴展DevOps的一些實踐和過程的一種方式，以繼續快速開發和縮短發布周期，同時解決安全問題。而且這樣做不會造成更多的開銷和延遲。

DevSecOps一直面臨的挑戰是安全是一個多方面的問題，無論是對于一般的應用程序還是對于云計算原生應用程序。DevSecOps掃描源代碼中的已知漏洞，確認應用程序依賴項目的當前版本（如數據庫）用于構建代碼，或者檢查生產中運行的應用程序是否保持最新版本。很多人正在搜索將應用程序與其他所需組件封裝在一起的容器中的漏洞。企業要確保應用程序平臺、工具鏈和開發人員客戶端本身是安全的。

其中完成許多任務需要不同的工具。但是，并非所有這些任務對于企業來說都具有同等重要的意義。如果尚未使用容器，或只使用自己構建的容器，容器掃描工具可能不是優先事項。如果在受到管制的環境中，則可能需要為某些類型的數據或通信優先考慮額外的安全級別。

（2）實現容易成功的目標

盡管實施更全面的安全性方法可能是一個重要的項目，但是可以通過一些相對較小的改進而獲得更大的成功，并確保軟件供應鏈安全。

隨著開源軟件的廣泛使用，開源代碼正逐漸進入越來越多的應用程序中，無論是專有的還是開源的。例如，Synopsys公司在其發布的“2020開源和風險分析報告”中指出 ，該公司審核了1253個應用程序，發現其中99％的應用程序包含開源組件，總的來說，70％的代碼是開源的。分析報告還發現，82％的代碼庫的組件已過期4年以上，88％的代碼庫組件在過去兩年中沒有開發活動。

但是，企業不應避免使用開源庫和其他組件。它應該是從受信任的來源獲取經過簽名的軟件，并使其保持最新狀態。如果在開發過程中使用開源軟件，那么改善軟件供應管理是企業可以采取的最重要步驟之一，而且幾乎都會這樣做。

（3）文化勝過過程，過程勝過工具

現在有很多良好的工具。而且企業應該至少利用其中一些工具自動執行以確保安全性。但是僅靠工具是不夠的。需要有一個過程，并以一致的方式使用工具。自動化技術在這方面有很大幫助。

但是企業還需要一種安全文化，在這種文化中，安全是每個人都在考慮的事情，而不只是安全團隊的事情。

這并不是說每個人都必須成為安全專家，但是需要了解開放式網絡應用程序安全性項目維護的十大網絡安全性風險列表。該列表包括諸如注入漏洞、跨站點腳本XSS、身份驗證損壞等風險，并且每年都會更新。令人關注的是每年的變化很小。回顧10年的清單，就會發現許多與當前相同的風險。而這種變化很慢，這很重要，因為文化很難改變。

（4）采用自動掃描技術

安全文化采用可靠的安全過程，并在整個開發過程中使用安全工具，其結果是安全性很早就開始內置。這是有利的，因為即使最終在代碼投入生產之前發現了所有的安全缺陷，這意味著現在必須從頭開始，這就是安全性成為瓶頸的原因。

與其相反，企業應該盡早發現問題，并且解決的成本相對較低，可以使用自動掃描來捕獲漏洞。這是現代制造系統中的一種眾所周知的做法。企業希望在零組件安裝到車輛上之前就發現供應商的問題。

（5）安全自動化也與運營團隊有關

雖然DevSecOps在全球范圍內可以操作，但考慮到DevOps在歷史上傾向于以開發人員為中心，因此經常會忽略安全性。

然而，安全自動化對運營團隊同樣重要。這種自動化通常看起來與云原生架構之前有所不同，那時更可能修復長時間運行的虛擬機或服務器實例中的漂移和其他問題。現在，更有可能關閉一個容器并啟動一個新容器。

但是，需要知道哪些容器需要構建新的容器進行更新，構建這些容器包括針對新問題的安全修補程序。此外，在不停機的情況下快速將這些更新的容器投入生產可能會受益于快速部署。

這聽起來工作量很大嗎？如果人工處理的話是這樣。與其相反，監視生產中的容器并根據需要刷新它們的過程需要可靠的自動化技術。這是安全自動化過程中的共同點。

責任編輯：xj