当你向他要安全带时,他们说没有安全带。当你看着你的前方,你所看到的只是一条泥泞的乡村道路,如果你在泥泞的乡村道路上驾驶赛车,没有工具来确保你想要达到的速度和速度是成功的,你会有什么感觉?这就是这次会议的主题。
我的名字是Chris Riley,我是Splunk的高级技术倡导者,这基本上意味着我从一个糟糕的程序员变成了一个喜欢谈论软件开发的人。我不打算过多地谈论我自己。但如果你想了解更多信息,你可以扫描二维码,它会带你到我的社交网站。如果在这节课中有什么你想让我进一步阐述的,请联系我,我很乐意参与,我喜欢听到看过我的课的人的声音。那么,在大多数组织中,如果他们没有为此做好准备,没有为他们的开发人员、DevOps工程师和站点可靠性工程师提供他们需要的工具,以可持续和安全的方式快速发展,情况会如何呢?
它通常是由能见度筒仓驱动的。在应用程序进入生产环境之前,您的安全专业人员和遵从性专业人员通常无法了解应用程序的运行情况。但是在软件交付链中发生的很多事情会影响这些应用程序的质量和安全性。因此,从特征被定义的点到这个点,创建可见性在生产环境中运行的特性是绝对关键的。
现在,开发人员可能非常擅长在他们所做的活动和测试中创建可见性。DevOps工程师,同样的故事。SREs往往非常擅长生产中发生的事情。这样做的问题是,如果安全专业人员有一个问题,他们必须找到正确的人有答案,他们通常不得不停止一切来获得这些答案。更糟糕的是,如果有审计,你的交付过程可能会中断数周。因此,由于交付链意味着交付代码,因此目标是没有人需要中断该过程以找出他们需要什么。所以我们喜欢把DevSecOps看作一种实践。
是的,DevSecOps是另一个行业术语。很多人会说如果你正确地做DevOps,你已经在考虑安全问题了。但是考虑DevSecOps,作为一种实践,它不再仅仅是一种工具你希望在使用中实现,并开始从战略角度考虑它。而且,因为这是一种实践,为了成功,它必须是可见的。
能见度是什么意思?这意味着有一个线程,它从您的交付链中发生的事情,通过在生产中运行的基础设施,通过应用层,一直到用户前端。最后,你的安全sim卡。
我们称之为代码到云的可见性,代码到云的可见性是绝对必要的,它可以跨越这些竖井,确保组织中的每个人都很好地理解正在发生的事情,从而构建更安全的应用程序,保护软件工厂并解决生产中的安全事件。这三个正是DevSecOps实践的三个用例。
这些用例中的每一个都有不同的方法,运行它的一组不同的人员,以及促进它的一组不同的技术功能。所以,它正在构建更安全的应用程序。你在做什么来检查漏洞?你在做什么来确保你的代码质量符合最佳实践?您正在做些什么来确保配置不会从开发机器转移到产品中,从而使组织面临风险?
其次是确保软件工厂的安全。您如何确保正确的人能够访问您的工件?如何确保您没有从公共仓库中提取工件?
你在做些什么来确保正在使用的秘密被正确使用?最后,是我们都很熟悉的区域是保护生产中的应用程序。但是在软件交付链中较早发生的事情的好处是故障排除事件,生产中的安全事件具有更大的上下文,更大的上下文意味着更快的解决方案,以及更快的根本原因分析。DevSecOps的行为既是文化的也是技术的。因此,第一件事是,自动化在DevSecOps中是隐含的,您必须考虑如何在软件交付链的自动化测试和交付过程中嵌入安全性,我们也将安全性考虑移到左边。
再次强调,这不仅仅是技术的问题,开发人员需要考虑安全性,而不是将安全性变成他们的工作。有一个非常有力的论点是,你不应该让安全成为开发人员的责任,而是给他们提供工具和思维方式,让他们知道构建更安全的应用程序对每个人都有好处。以DevOps的速度完成所有这些工作,DevSecOps实践的目标和安全专业人员并不是要阻止软件交付。
典型的安全专业人员明白,尽快向用户交付功能是业务的关键。但他们也知道,不需要停止一切,这是业务的关键因为一个漏洞出现了。因此,将安全性构建到开发实践中符合每个人的最大利益,而不是让它成为事后的想法,或者不让它只发生在生产中。所以这种做法并不是一刀切的。
在高层次上,我们让我们的高管明白,首先,这是一种实践,它不是一种技术,你去买了,突然,你完成了,勾选框,你现在已经实现了DevSecOps。不是这样的。
在这三个用例中的每一个用例中,我们都有不同的角色来驱动它们。因此,在构建更安全的应用程序时,它倾向于由开发人员和DevOps工程师驱动和实现,并将价值交付给安全专业人员和sre。
与保护软件工厂类似,通常由DevOps工程师和安全专业人员实施,有时站点可靠性工程师将参与确保工具链中工具的正常运行时间和安全性。最后,保护生产中的应用程序。
我们非常熟悉的是由安全专业人员驱动,由站点可靠性工程师支持。就像DevSecOps实践中有多个角色一样,也有多个技术能力。因此,构建更安全的应用程序和保护软件工厂的先决条件和基础往往是管道分析。
什么是管道分析?管道分析是从你的工具链中的工具中收集遥测数据,这些工具可以是它们的日志,可以是web钩子可以是它们的API,还有你的自动化,所以你运行的自动化,你运行的脚本,可能来自terraform,或者其他工具用来构建基础设施。
一旦你有了这些数据,你就可以从三个不同的角度来看待它。第一个镜头是操作的,它启动并运行了吗?它是否以高性能的方式启动和运行?
第二个镜头是顺从,谁得到了访问您的工具链中的工具?他们如何访问它?有人在使用路由策略吗?最后是衡量成功的关键绩效指标。在保护软件工厂的同时,我们还有sim卡。实际上,您可以使用今天在生产中使用的功能,您在工具和交付链上的sim技术来防止未经授权访问这些工具,可能会暴露知识产权和交付链的其他组件,从而影响生产和应用程序的安全性。最后,确保生产一直是由Sim驱动的。但是在DevSecOps模型中,您还引入了可观察性的功能,以减少识别事件所需的时间,并提供更多的背景和事件响应,以帮助在事件发生时尽可能快地使用正确的信息进行分类和动员人员。所以让我们来谈谈Splunk和JFrog是如何结合在一起的。
这两种解决方案是非常棒的合作伙伴。使用JFrog Artifactory来管理工件的运输和交付,使用X-Ray来调查这些工件的已知漏洞。
Splunk在此活动之上构建可见性,这样您就可以利用来自Artifactory和X-Ray的数据来做出明智的决策,了解当前交付链中正在发生的事情,未来生产中可能发生的事情,并且还可以衡量整个发布过程的成功程度。它涉及DevSecOps实践的所有三个用例,包括构建更安全的应用程序、保护软件工厂和衡量软件交付的成功。那么JFrog和Splunk如何构建更安全的应用程序呢?
首先,Splunk内部的可见性可以帮助您理解和了解并对XRay和Artifactory的覆盖范围充满信心。
我说的覆盖范围是什么意思?我的意思是,您有信心开发人员正在做他们需要做的事情,以确保工件有效移动并扫描漏洞。您还可以利用它来发现工件消耗的异常情况。那么是谁在消费文物呢?
他们什么时候吃?从哪里?例如,该行为对于确保工件在不应该离开组织的时候没有离开是至关重要的。或者您没有从例如公共存储库中提取工件,并且您正在执行与消费和使用工件相关的策略。
它还支持配置漂移的识别,确保开发人员机器上的工件不会以某种方式最终出现在工程团队的其他成员所使用的存储库中,其中存在已知的漏洞。
还有一个非常有趣的用例,你可以在软件交付过程中实现针对漏洞的事件响应,当构建过程中出现漏洞时,你可以让人随叫随到,可能是你的DevOps工程师或开发人员,这样你就可以在工件意外进入生产环境之前停止一切。只是让人们更多地关注交付过程中发生的事情,这些事情可能会影响生产中应用程序的安全性。
现在保护软件工厂,如果您正在使用Artifactory和X-Ray,这是您的软件交付过程中绝对关键的两个工具。重要的是你要确保对这些工具的访问,这些工具的正常运行时间是合适的。因此,您可以检查以确保没有未经授权的访问Artifactory或某种拒绝服务攻击,从而阻止Artifactory完成其工作并支持软件交付过程。
您还可以更好地了解如何、何时以及在何处使用工件。它可以按团队划分,也可以按程序划分,这样您就对您的组织如何使用工件有了一个基本的了解,并在异常行为发生时开始发现它。最后,我们来谈谈衡量成功。
这往往是开发者最感兴趣的领域。那么为什么它是DevSecOps对话的一部分呢?这些指标对于理解交付链的成功与否很有用,因为它是问题的指示器,同时也是让开发人员和DevOps工程师思考安全性并对这种可见性感兴趣的工具。你现在在屏幕上看到的指标是Dora指标的一部分。
Dora并不是唯一的一套度量标准,但它们在某种程度上已经成为行业的标准。有很多不同类型的参数。但是这些指标可以帮助您理解在很长一段时间内交付链的成功,并且组织倾向于将变更失败率作为主要指标开始,这对于DevSecOps和开发团队来说都是为了理解速度但是这种速度对他们交付给客户的价值的影响。下面是这个工具的截图。
正如您所看到的,Splunk中JFrog的附加组件的设置方式与我之前描述的相同。这是三个关键的镜头,即操作,审计和遵守。所以现在,我们正在关注Artifactory,我们正在关注Artifactory是如何被谁使用的审计视图。在x射线的这个视图中,我们开始看到漏洞对整个组织的影响。
这是测量来自x射线的日志,并给出误差的指示。通常在部署新应用程序的构建期间会出现峰值。
这是意料之中的。但是,它还可以帮助您在视觉上非常快速地识别整个交付链中的异常情况,特别是在检测漏洞时。最后,我想谈谈另外一个用例。
有一个持续验证的想法,就是识别已经交付的代码中的漏洞,在交付时不知道的漏洞。所以这种持续验证的想法很酷。
使用JFrog、Splunk和Splunk的其他工具(无论是Splunk on call还是Splunk Phantom),当JFrog识别出现有工件中的漏洞时,就可以触发事件并理解潜在的自动修复,并且我们知道该工件已经在生产中了。因此,这是一个非常酷的前沿用例,它需要大量的自动化和大量的可见性才能实现。对于大多数组织来说,这将是一颗北极星。那么如何开始使用Splunk中的JFrog呢?
前提是你已经准备好了人工工厂。如果您是Splunk现有的客户,您可以工作你也可以去获取Splunk的免费试用版来测试JFrog的应用。
JFrog应用程序位于Splunk基础中,URL就在那里。一旦你设置了Splunk实例和Artifactory实例,你下载并安装这个应用程序,你激活它,并配置它与你的JFrog Artifactory实例的详细信息。完成之后,Splunk将开始从Artifactory和X-Ray中摄取日志数据。你会有我展示给你的那些仪表板,开箱即用,开始最大化DevSecOps环境的可见性。
所以JFrog + Splunk是你的DevSecOps可见性合作伙伴。
感谢您参观我们的展示会,并给我这个机会和您谈谈我们共同的解决方案。如果您想了解更多信息,请联系我们。
你也可以访问Splunk.com来获取更多信息,或者Splunk基础JFrog应用程序,那里有一个很好的演示和更多信息。
谢谢大家,祝你们接下来的活动愉快。
