從軟件研發(fā)管理角度理解開發(fā)安全中的SDL與DevSecOps

百度、騰訊、小米、OPPO……似乎今年談起開發(fā)安全，不說自己從傳統(tǒng)SDL轉(zhuǎn)型到DevSecOps就不能稱為創(chuàng)新。

的確，DevSecOps越來越受到周期短、迭代快的互聯(lián)網(wǎng)業(yè)務(wù)的歡迎，也成為安全界的流行趨勢(shì)。但在筆者看來，“一個(gè)好、另一個(gè)不好”的思想是不成熟的。軟件開發(fā)過程的目標(biāo)是多樣性的，有些是質(zhì)量、人員效率優(yōu)先，有些是速度優(yōu)先，也有些是安全優(yōu)先，由此可見目標(biāo)決定過程。因此，需要根據(jù)不同的目標(biāo)來有機(jī)整合相關(guān)的實(shí)踐以實(shí)現(xiàn)目標(biāo)。

作為專業(yè)人員，我們必須從更高階與成熟的軟件工程管理角度考慮如何做好軟件安全開發(fā)。國際標(biāo)準(zhǔn)最廣泛采用的基于WSR軟系統(tǒng)工程方法論告訴我們：要解決組織的問題需要基于戰(zhàn)略方向，從人、流程、技術(shù)與工具、方法等多個(gè)維度系統(tǒng)化思考。工具很重要，但也不是解決問題的萬能藥，用什么工具，不是看是不是技術(shù)先進(jìn)，而是在戰(zhàn)略指導(dǎo)下，從成本效益角度綜合考慮的結(jié)果。

SDL與DevSecOps對(duì)比又進(jìn)入了歷史誤區(qū)

“DevSecOps”被評(píng)為年度網(wǎng)絡(luò)安全行業(yè)熱點(diǎn)詞匯，然而歷史似乎總在重演。正如當(dāng)年在軟件工程領(lǐng)域爆發(fā)“CMMI與敏捷開發(fā)”的爭論一樣，現(xiàn)在安全領(lǐng)域出現(xiàn)了類似的爭議。

現(xiàn)在網(wǎng)絡(luò)上很多文章，開始宣傳DevSecOps優(yōu)于SDL，甚至出現(xiàn) SDL已死的論調(diào)。其實(shí)SDL是一種安全開發(fā)模型，其對(duì)應(yīng)的所謂實(shí)踐，實(shí)際就是模型的要求，用什么方法滿足這個(gè)要求，組織可以根據(jù)具體情況決定，SDL目前實(shí)際已經(jīng)涵蓋DevSecOps。而DevOps是軟件敏捷開發(fā)方法的發(fā)展，DevSecOps是基于DevOps的軟件安全開發(fā)方法。因此，如果作類比，SDL相當(dāng)于CMMI ，而 DevSecOps相當(dāng)于敏捷開發(fā)方法，總而言之：

SDL是一種模型，DevSecOps是一種具體的方法，兩者相輔相成，一起進(jìn)步，而不是對(duì)立的；

SDL本身也在演進(jìn)中，并已經(jīng)涵蓋了DevSecOps方法；

解決安全運(yùn)維一體化的并非只有DevSecOps一種選擇，S-SDLC也行；

DevSecOps與傳統(tǒng)瀑布模式的S-SDLC方法相比，也沒有優(yōu)劣之說，只是解決問題場(chǎng)景不同，DevSecOps也不能替代瀑布式S-SDLC。

從軟件工程學(xué)的角度看軟件安全開發(fā)

軟件安全開發(fā)的本質(zhì)目標(biāo)，是開發(fā)出安全的軟件?！鞍踩奔幢Ｃ苄?、可用性、完整性?；谲浖こ坦芾怼斑^程控制、預(yù)防為主”的原則，應(yīng)該在軟件開發(fā)過程中內(nèi)建，而不是“亡羊補(bǔ)牢”：先開發(fā)、再檢驗(yàn)、最后修補(bǔ)。

根據(jù)《GB/T 11457-2006 軟件工程術(shù)語》的定義，“軟件開發(fā)過程（2.1491）”是把用戶要求轉(zhuǎn)化為軟件產(chǎn)品的過程，此過程包括：把用戶要求轉(zhuǎn)換為軟件需求，把軟件需求轉(zhuǎn)化為設(shè)計(jì)，用代碼來實(shí)現(xiàn)設(shè)計(jì)，對(duì)代碼進(jìn)行測(cè)試，有時(shí)包括安裝和驗(yàn)收。因此，軟件開發(fā)生命周期（SDLC）通常定義為：需求、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證、發(fā)布、運(yùn)維6個(gè)生命周期階段。

軟件開發(fā)的過程階段可以遵循不同的“軟件開發(fā)生命周期模型”，也被稱為“軟件開發(fā)過程模型”。每個(gè)過程模型都遵循其在軟件開發(fā)生命周期所獨(dú)有的一系列階段, 以確保軟件開發(fā)成功。不同的軟件開發(fā)生命周期類型，本質(zhì)是為了應(yīng)對(duì)不同問題域。目前行業(yè)最主流的SDLC是瀑布與敏捷，而選擇哪一種SDLC開發(fā)軟件，需要根據(jù)不同場(chǎng)景的特征。見下表。

為了實(shí)現(xiàn)軟件的安全特性，需要在軟件開發(fā)生命周期的各階段融入安全實(shí)踐過程，以保障開發(fā)過程能產(chǎn)出安全的軟件，也就構(gòu)成了安全軟件開發(fā)生命周期S-SDLC。因此，在瀑布型SDLC 或敏捷型SDLC融入相應(yīng)的安全實(shí)踐過程就可以衍生出安全的瀑布開發(fā)生命周期與安全的敏捷開發(fā)生命周期。因此，S-SDLC實(shí)際是泛指安全軟件開發(fā)生命周期，可以是瀑布模式，也可以是敏捷模式。

SDL的誕生和演進(jìn)

微軟在21世紀(jì)初期的軟件產(chǎn)品開發(fā)實(shí)踐中，就意識(shí)到無法通過技術(shù)層面徹底解決軟件面臨的安全風(fēng)險(xiǎn)。因此，微軟嘗試從流程和管理的角度解決這個(gè)問題，并探索在各軟件開發(fā)環(huán)節(jié)加入安全過程、把控安全風(fēng)險(xiǎn)，確保每個(gè)環(huán)節(jié)交付到下一環(huán)節(jié)的交付物都安全可控。于是，微軟產(chǎn)生了“SDL軟件安全開發(fā)周期（Security Development Lifecycle）”。

2004年，微軟的SDL安全開發(fā)生命周期模型（見下圖）并作為軟件開發(fā)的強(qiáng)制策略開始在公司實(shí)行。該模型幫助開發(fā)人員構(gòu)建高安全性的軟件，并取得了巨大成功。應(yīng)該說早期的這個(gè)模型，確實(shí)沒有將運(yùn)維層面的實(shí)踐納入該模型。

早期的微軟SDL

2019年，隨著移動(dòng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能和其他新技術(shù)的興起，微軟對(duì)SDL進(jìn)行調(diào)整，使得無論使用經(jīng)典的瀑布或更新的敏捷方法（如DevSecOps），在開發(fā)的每個(gè)階段提高軟件應(yīng)用程序的安全性。其中，適用于瀑布開發(fā)場(chǎng)景的SDL包括12個(gè)安全開發(fā)實(shí)踐，適用于敏捷開發(fā)場(chǎng)景的SDL包括8個(gè)安全開發(fā)實(shí)踐。

適用于瀑布開發(fā)場(chǎng)景的新版微軟SDL

適用于敏捷開發(fā)場(chǎng)景的新版微軟SDL

新版微軟SDL具有以下特征：

不再強(qiáng)調(diào)在哪個(gè)軟件開發(fā)階段執(zhí)行哪個(gè)實(shí)踐，這使得模型能適用更廣泛的SDLC模式；

重視軟件開發(fā)過程中的自動(dòng)化安全檢測(cè)，包含：靜態(tài)安全測(cè)試、動(dòng)態(tài)安全測(cè)試、滲透測(cè)試；

不再關(guān)注軟件的發(fā)布過程；

加強(qiáng)開發(fā)過程中對(duì)有關(guān)人員、工具和組件的管理。

互聯(lián)網(wǎng)技術(shù)與應(yīng)用創(chuàng)新推動(dòng)敏捷開發(fā)向DevOps演進(jìn)

隨著互聯(lián)網(wǎng)時(shí)代的到來，信息得以快速傳遞，并呈現(xiàn)出跨界融合、創(chuàng)新驅(qū)動(dòng)、重塑結(jié)構(gòu)、尊重人性、開放生態(tài)、連接一切等意識(shí)形態(tài)，對(duì)軟件開發(fā)管理帶來前所未有的沖擊?；ヂ?lián)網(wǎng)行業(yè)的軟件公司面臨更加復(fù)雜和快節(jié)奏的外部環(huán)境，之前在瀑布模型場(chǎng)景的假設(shè)被打破。創(chuàng)新業(yè)務(wù)場(chǎng)景多、客戶需求變化快，使得現(xiàn)有經(jīng)驗(yàn)積累很難借鑒。需要在成本可控情況下，不斷向市場(chǎng)交付、驗(yàn)證、反饋、調(diào)整以找到準(zhǔn)確的方向，此時(shí)準(zhǔn)度比精度更重要，做錯(cuò)方向的成本遠(yuǎn)高于迭代修正的成本，更快的迭代速度可以獲得更快的反饋、更靈活調(diào)整，只有這樣更利于贏得市場(chǎng)競爭，速度成為首要考慮的因素。因此，擁抱變化、固定成本下迭代增量交付的敏捷方法應(yīng)運(yùn)而生。但由于敏捷方法應(yīng)對(duì)的是快速變化的外部環(huán)境與不確定的問題，則更加依賴團(tuán)隊(duì)的能力自組織、自適應(yīng)外部變化，其存在的局限包括：

如果迭代成本極高，這個(gè)方法就無法實(shí)施；

對(duì)團(tuán)隊(duì)成員的綜合素質(zhì)和能力有較高門檻，很難適應(yīng)大規(guī)模的軟件開發(fā)場(chǎng)景，因?yàn)橐坏﹫F(tuán)隊(duì)規(guī)模變大，就必然需要層級(jí)管理模式；

由于擁抱變化，增加了短期的靈活性，這樣操作降低過程風(fēng)險(xiǎn)，則失去了對(duì)最終成本的預(yù)見性和可控性。

敏捷方法本身也在演進(jìn)，開始敏捷方法主要是產(chǎn)品開發(fā)領(lǐng)域。隨著云計(jì)算應(yīng)用的興起，軟件即服務(wù)也意味著為真正敏捷的交付軟件價(jià)值給客戶，必須將敏捷擴(kuò)展至運(yùn)維端，才能實(shí)現(xiàn)真正的端到端的價(jià)值流動(dòng)和及時(shí)客戶反饋、快速迭代，持續(xù)集成、部署的自動(dòng)化是這一方法體系的核心能力！我們稱之為DevOps。

持續(xù)開發(fā)、持續(xù)部署

下圖是Exin DevOps認(rèn)證提出的知識(shí)體系。大家會(huì)發(fā)現(xiàn)，但其SDLC本質(zhì)并沒有變化，采用敏捷方法進(jìn)行管理，持續(xù)交付是其核心實(shí)踐。

Exin DevOps知識(shí)體系圖

DevOps催生DevSecOps

既然有了DevOps，那么DevOps場(chǎng)景下，如何實(shí)現(xiàn)安全開發(fā)呢？于是安全界提出DevSecOps的方法。

DevSecOps邏輯圖

業(yè)內(nèi)首次對(duì)該模型及配套解決方案進(jìn)行詳細(xì)的分析，核心理念為：“安全是整個(gè)IT團(tuán)隊(duì)（包括開發(fā)、測(cè)試、運(yùn)維及安全團(tuán)隊(duì)）所有成員的責(zé)任，需要貫穿整個(gè)業(yè)務(wù)生命周期的每一個(gè)環(huán)節(jié)。“每個(gè)人都對(duì)安全負(fù)責(zé)"，安全工作前置，柔和嵌入現(xiàn)有開發(fā)流程體系。

RSA2018大會(huì)上出現(xiàn)的一個(gè)熱詞“Golden Pipeline（黃金管道）”，特指一套通過穩(wěn)定的、可預(yù)期的、安全的方式自動(dòng)化地進(jìn)行應(yīng)用持續(xù)集成/部署的軟件流水線。相比復(fù)雜的雙環(huán)模型，Golden Pipeline無疑是一種便于理解和落地的實(shí)現(xiàn)方式：

CI/CD邏輯圖

在整體方案中，綠色部分為安全相關(guān)的工作內(nèi)容。與傳統(tǒng)SDL不同的是，除了CD后期的安全檢測(cè)，其它階段的安全工作通常為開發(fā)團(tuán)隊(duì)負(fù)責(zé)或干脆實(shí)現(xiàn)了完全自動(dòng)化。主要是將部分測(cè)試相關(guān)的安全實(shí)踐通過工具化實(shí)現(xiàn)了自動(dòng)化。

正確認(rèn)識(shí)瀑布模式的S-SDLC與DevSecOps

1、敏捷模式是特種兵作戰(zhàn)，瀑布模式是集團(tuán)軍作戰(zhàn)

現(xiàn)在網(wǎng)上經(jīng)常被人拿來與DevSecOps做對(duì)比的SDL，主要被認(rèn)為SDL代表的是以瀑布模式的S-SDLC，而當(dāng)時(shí)SDL主要基于微軟的軟件產(chǎn)品開發(fā)場(chǎng)景。我們知道微軟此前產(chǎn)品主要是系統(tǒng)級(jí)軟件或者工具軟件，開發(fā)周期相對(duì)較長、需求范圍相對(duì)明確，而且變化相對(duì)可控并不會(huì)太頻繁。同時(shí)，系統(tǒng)復(fù)雜性和團(tuán)隊(duì)規(guī)模很大，每次軟件系統(tǒng)進(jìn)行迭代和返工的成本極高，必須保證每個(gè)階段交付的正確性。據(jù)說，微軟為此當(dāng)時(shí)軟件開發(fā)工程師與軟件測(cè)試工程師的配比為1:1甚至1:2，而且這類軟件，并不需要密集的部署和交付，在開發(fā)與運(yùn)維之間是有明顯階段的。DevOps開發(fā)運(yùn)維一體化，根本沒有必要。這種場(chǎng)景下，是比較適合采用瀑布模式的。由于整個(gè)項(xiàng)目周期較長，軟件質(zhì)量是首要考慮的因素，實(shí)施安全實(shí)踐對(duì)項(xiàng)目的效率和進(jìn)度影響并不明顯。因此，以SDL為指導(dǎo)模型的瀑布模式的S-SDLC方法可以很好的在這樣的場(chǎng)景落地，并取得實(shí)際的成功。

如果說敏捷是特種兵作戰(zhàn)模式強(qiáng)調(diào)靈活應(yīng)變，那么瀑布模式就是集團(tuán)軍作戰(zhàn)模式，要求周密的計(jì)劃和控制。全球95%的500強(qiáng)企業(yè)采用的IPD產(chǎn)品開發(fā)體系，其生命周期模型也主要是采用的瀑布開發(fā)模式。

2、全量與增量的區(qū)別是人員和時(shí)間的投入產(chǎn)出比

從實(shí)際情況來看，無論是瀑布模式還是敏捷模式，在需求價(jià)值這個(gè)顆粒度上的生命周期其實(shí)是一致的，只是瀑布模式是全量而敏捷模式是迭代增量。但是對(duì)于安全實(shí)踐的落實(shí)卻造成了影響，見下圖。

全量與增量的區(qū)別邏輯圖

假定我們同時(shí)有10條需求，如果按瀑布全量交付方式，安全實(shí)踐只需要一次集中處理10條，再轉(zhuǎn)給下一個(gè)環(huán)節(jié)。這樣對(duì)團(tuán)隊(duì)的人員效率是最優(yōu)的。但在增量交付時(shí)，我們會(huì)發(fā)現(xiàn)，安全實(shí)踐同樣要處理10條需求，但必須要在不確定的時(shí)間點(diǎn)去完成。價(jià)值流動(dòng)效率最優(yōu)，但人員效率就不高了。如果在DevSecOps環(huán)境下，安全實(shí)踐由安全人員來支撐，理論上需要的安全團(tuán)隊(duì)會(huì)更為龐大，這在許多公司顯然是不可接受的。

另外，由于每次交付的周期變短了，速度成為關(guān)鍵制勝因素，任何對(duì)速度的影響都會(huì)對(duì)業(yè)務(wù)造成明顯的阻礙。速度與安全都是業(yè)務(wù)的屬性，都需要投入成本，速度與安全的“沖突”，本質(zhì)是對(duì)各維度投入產(chǎn)出的綜合考量。要實(shí)現(xiàn)魚與熊掌兼得，除了在更高一級(jí)維度平衡外，唯有通過自動(dòng)化工具才能緩解但并不能完全消除。

如果從開發(fā)安全軟件的核心要素考量，其實(shí)本身并不在于全量交付還是增量交付，而在于在每個(gè)給客戶的可交付增量的開發(fā)各階段是否有融入合適的安全實(shí)踐。舉個(gè)例子，如果你沒有對(duì)需求進(jìn)行安全需求的識(shí)別和分解，后面設(shè)計(jì)與測(cè)試工具再快，同樣無法實(shí)現(xiàn)預(yù)期的安全目標(biāo)。同樣，沒有進(jìn)行安全設(shè)計(jì)，后面測(cè)試做的再好、再快，也無法有效實(shí)現(xiàn)預(yù)期安全目標(biāo)。

DevSecOps 增量持續(xù)交付，具體微觀到每個(gè)需求單件流，也是一個(gè)典型的瀑布，也可以應(yīng)用SDL（瀑布模式），因?yàn)镾DL提出的安全實(shí)踐要求依然適用，只是實(shí)現(xiàn)這些要求的具體方法需要根據(jù)開發(fā)目標(biāo)做調(diào)整。

3、DevSecOps不是唯一的選擇

DevOps強(qiáng)調(diào)相對(duì)之前敏捷開發(fā)方法，重點(diǎn)解決了開發(fā)與運(yùn)維的沖突。

明智的解決方法不外乎三點(diǎn)：

 相互理解各自的利益關(guān)注點(diǎn)；

在更高一級(jí)統(tǒng)一優(yōu)先級(jí)；

通過自動(dòng)化和文化理念解決二者的沖突。

DevOps解決沖突實(shí)際是采用的第3種方法，但第2中方法同樣可以解決問題。

Netflix（奈飛）的專家在一次DevOps大會(huì)發(fā)言，值得我們思考和借鑒。Netflix的業(yè)務(wù)場(chǎng)景需要面臨每天數(shù)千次的變化與上線壓力，絕對(duì)非常適合采用DevOps，而Netflix的軟件開發(fā)實(shí)踐絕對(duì)是業(yè)界的標(biāo)桿，但他們專家卻在報(bào)告中多次強(qiáng)調(diào) “Netflix不關(guān)注DevOps，因?yàn)橥ㄟ^公司文化、過程、技術(shù)工具、信任，我們已經(jīng)避免了開發(fā)和運(yùn)維的沖突。沒有沖突，也就不需要DevOps”。

開發(fā)樂于創(chuàng)新、變革，而運(yùn)維則希望持續(xù)穩(wěn)定。如果不在更高一級(jí)的公司領(lǐng)導(dǎo)層面確定優(yōu)先級(jí)的話，必然導(dǎo)致僵局。奈飛選擇了創(chuàng)新，他們不追求完美的7×24小時(shí)系統(tǒng)的可靠，愿意承受一些招致可靠性風(fēng)險(xiǎn)的問題也要鼓勵(lì)產(chǎn)品的創(chuàng)新優(yōu)化。這個(gè)共識(shí)滲透了開發(fā)團(tuán)隊(duì)和運(yùn)維團(tuán)隊(duì)，二者的沖突根本就沒有機(jī)會(huì)造成傷害。因此，也就不需要DevOps了，自然也就不需要DevSecOps了。

正在導(dǎo)入DevOps的組織應(yīng)該借鑒Netflix的經(jīng)驗(yàn)：從組織戰(zhàn)略層面平衡好產(chǎn)品創(chuàng)新優(yōu)化和產(chǎn)品穩(wěn)定運(yùn)維的矛盾；最大化實(shí)現(xiàn)測(cè)試自動(dòng)化；全面形成責(zé)任感文化。而不是糊里糊涂推動(dòng)DevOps以及DevSecOps運(yùn)動(dòng)。你可以把馬帶到河邊，但不能逼著它們飲水。你可以去說服開發(fā)和運(yùn)維合力同心，但組織文化不改，僅僅變化工具不會(huì)有實(shí)質(zhì)的改進(jìn)。

開發(fā)運(yùn)維一體化的安全開發(fā)，除了DevSecOps，企業(yè)通過整合S-SDLC、戰(zhàn)略文化、組織流程、工具方法，也同樣可以找到更適合自己的方法，Netflix給我們提供一個(gè)很好的案例。

最后的一些建議

如果要粗略給企業(yè)建議是用瀑布式S-SDLC方法（下面簡稱“瀑布模式”）還是DevSecOps的話，行業(yè)較為普遍的做法可供借鑒：

1.需求范圍明確的軟件開發(fā)用瀑布模式更合適，即使是互聯(lián)網(wǎng)軟件也是如此。比如：大家可能覺得游戲開發(fā)往往采用敏捷模式，但大家參加一些行業(yè)分享大會(huì)時(shí)會(huì)發(fā)現(xiàn)，有很多大型游戲開發(fā)如果在需求明確的情況下，企業(yè)依然會(huì)采用瀑布模式；

2.迭代修復(fù)成本巨大的軟件開發(fā)過程用瀑布式更合適。比如，與硬件結(jié)合的專用系統(tǒng)軟件底層軟件，一旦有哪個(gè)部分出現(xiàn)考慮不周問題，將導(dǎo)致系統(tǒng)推翻重來、前期成本投入浪費(fèi)的情況；

3.對(duì)于IoT類智能終端軟硬件結(jié)合產(chǎn)品，通常會(huì)混合采用瀑布模式與DevSecOps。相對(duì)確定的嵌入式系統(tǒng)部分軟件采用SDL，相對(duì)用戶端的云或者APP可以采用DevSecOps；

4.無法對(duì)系統(tǒng)拆分成可交付增量的，只能用瀑布模式；

5.需求范圍經(jīng)常變化，面臨密集部署的場(chǎng)景用DevSecOps更合適；

6.需求不確定，但開發(fā)與部署有明顯階段區(qū)別，很難持續(xù)端到端價(jià)值流動(dòng)的，采用通常的敏捷方法就好，也沒必要采用DevSecOps。

所以，如果從實(shí)際應(yīng)用場(chǎng)景來看，SDL主要用于指導(dǎo)企業(yè)研發(fā)管理體系的完善和融合，而具體瀑布模式S-SDLC和DevSecOps是解決問題域的方法，在企業(yè)策略指導(dǎo)下可以選擇性采用。

SDL與DevSecOps有各自的適用場(chǎng)景，對(duì)軟件安全開發(fā)的發(fā)展都有著重要的貢獻(xiàn)。特別進(jìn)入產(chǎn)業(yè)互聯(lián)時(shí)代，工業(yè)4.0、基礎(chǔ)工業(yè)與系統(tǒng)軟件、大量IoT終端設(shè)備等都會(huì)有大量涌現(xiàn)，均會(huì)給SDL與DevSecOps帶來更廣闊的應(yīng)用場(chǎng)景。（開源網(wǎng)安 宋荊漢）