“安全即代码”目前发展到哪个阶段?

谷歌和一些公司正在为软件添加安全配置，以便云应用程序和服务有明确定义的安全设置，同时，这也是DevSecOps的关键组成部分。

目前，希望提高敏捷性和支持混合工作模式的公司越来越多地采用云基础架构，这也使得更多的开发团队采用“安全性即代码”的方式，将安全性构建到软件和产品中。

在过去一年，谷歌将“安全即代码”作为其云产品的基本组成部分，并在1月份将“软件定义的基础设施”确定为推动云安全的八大趋势之一。将安全配置编码为可以作为开发和部署流程输入的代码，可以让组织分析其安全配置，轻松更改和重新部署，并持续监控其安全配置的状态，以评估其是否匹配策略。

谷歌云首席信息安全官表示，这么做更有利于分析安全配置，并且持续可验证。

“安全即代码”的好处在于，可以清晰了解到所部署的配置和所要分析的配置完全对应。此外，“安全即代码”是“基础设施即代码”的扩展，DevOps 团队已将基础架构即代码作为构建和部署软件、容器和虚拟机的事实上的标准，但现在公司认为，向云原生基础架构的转变将使安全即代码成为一种可持续的安全方法。

“安全即代码” 是如何工作的

2021年，咨询公司麦肯锡(McKinsey and Company)认为，在现代企业移动的速度下，安全即代码可能是确保云应用程序和基础设施安全的唯一方法。这家企业在一份意见书中写道：在云计算中实现价值需要大多数公司建立一个转型引擎，将云集成到业务和技术中，在主要业务中优先推动采用，并建立更安全、更经济的使用云所需的基础能力。“SaC是开发云安全和风险管理基础能力的机制。”

谷歌希望使这个概念更加实用，并成为任何云基础设施的一部分。去年11月，该公司的网络安全行动团队宣布了一项风险与合规作为代码(RCaC)解决方案。

采用了DevOps的公司知道，可重复的软件构建依赖于能够将基础设施元素的配置(无论是软件应用程序、管道构建还是容器)指定为文件中的代码。这种将基础设施作为代码的方法允许开发人员和操作专家在部署配置之前分析配置。

“安全即代码”的目标是在安全方面做同样的事情，这种方法被许多人称为DevSecOps。“安全即代码”表示各种元素的安全配置，包括应该执行的安全测试、漏洞扫描的标准、加密需求和访问控制。

它如何影响软件材料清单(SBOM)?

谷歌认为目前使用更明确和功能强大的软件材料清单，是软件及代码在未来的关键组成部分。通过使用软件材料清单，可以在任何构建过程中分析软件程序的组件，使用容易受到特定威胁(如Log4j)的组件可能会停止构建。

这种机制有利于做出更有弹性的决策，与过去在传统本地环境中所能做的相比，这种用于执行安全策略的环境可编程性是很大的变革。

在创建代码时发现并解决问题比在云中出现问题有效得多。通过这种方式，可以确保默认部署的内容是安全的，并且任何修复都是简单的合并请求，而不是事后考虑或者补丁。

SAST和SCA这类工具在自动化实现“安全性即代码”上发挥着很大作用。大多数企业甚至不知道他们的软件是由哪些组件组成的，也不清楚所写代码是否规范或者存在安全缺陷。

目前，我们还处于采用“安全即代码”的早期阶段，基础设施即代码对安全性发展有很大意义，但还没有完全成熟，很多组织并没有这种机制。

文章来源：

https://www.darkreading.com/cloud/security-as-code-gains-more-support-but-still-nascent