百度的百度的DevSecOps实践实践
1轻量级 SDL,百度的前 DevSecOps 时代
作为一家大型互联网公司,百度具备着所有大型公司和互联网公司的典型特点:业务体系繁多、业务数量庞大、业务迭代迅
速。
在百度内部,业务研发模式有别于传统的 SDLC 模型,更接近于 DevOps 模式,CI/CD 工具集成和自动化程度高,产品迭代
频次多、周期短。
面对这样的业务研发场景,传统通过输出人力到业务团队,全流程跟进和解决业务研发生命周期的安全问题的方式已经不再适
合。安全团队不能、也不可能将人力覆盖到所有业务。因此,安全团队势必需要构建通用性的产品安全基础设施,将其嵌入到
产品研发流程中,然后配合重点业务的小范围安全评估,来实现高可用、高自动化的软件研发生命周期安全保障。
在百度,我们将这种方式称之为轻量级 SDL,即通过少量的人力投入,以高自动化、高 CI/CD 集成的方式解决业务产品的安
全问题。在轻量级 SDL 建设初期,我们根据实际业务场景,构建了百度的自动化漏洞检测系统,并将其嵌入到业务测试上线
流程中,具体图示如下:
通过轻量级 SDL 建设,我们以不足 10 人的团队规模,支撑百度 80% 以上业务的上线前安全检查,并在过去的几年时间,保
证百度线上业务安全问题数量每年降低 30% 以上。
当然,上图中描述的 轻量级 SDL 架构也存在一些问题和痛点。
虽然通过在测试上线阶段嵌入了自动化安全测试流程,能够帮助业务在上线之前提前发现安全问题,降低安全风险。但是由于
业务团队相对缺少安全意识和视野,经常误认为保障业务安全只是安全团队的工作,认为自动化安全测试是安全团队给业务团
队增加的额外负担。在这种情况下,业务团队在面对自动化安全测试流程检查出的问题时,也常常是 case by case 的解决,
并没有深层次的解决安全意识和安全编码相关的问题。
对此,我们整理了轻量级 SDL 初期建设完成后亟待解决的一些问题,并决心解决:
评论0