李达：敏捷式开发安全运维的深度思考者

作者：思乐

目前，伴随着电子信息技术的快速更新、架构的成熟、模式的多元变化，正良性催化着各种业态的快速发展，企业传统的瀑布开发模式发展到敏捷模式再到DEVOPS模式，这一系列的变化也是催化后的一种体现。整个过程中，安全模式也在随之演变，也许每个企业的安全模式都不同，但安全理念都在向更早、更全面、更深入的方向发展，贯穿开发生命周期的安全理念已成为大的方向和趋势。

某全球知名主题乐园位于上海的度假区作为一家在中国极富盛名的企业，在数字化转型的阶段也引入了敏捷开发运维的模式。相比于传统的瀑布式模式，敏捷开发运维的模式更加快速，自动化，通过产品快速迭代的方式将系统快速上线。但敏捷开发的运维模式也给在中国落地只有六年时间的该企业带来了很大的安全风险，这种风险主要表现在：

传统的瀑布式模式下，安全团队有足够的时间进行各项技术评估和测试，例如在产品需求分析阶段，安全团队通过评估整个系统架构，给出很多安全的需求，那么这个时间通常会是1-2个月。然后在敏捷式开发模式下，2个月时间产品早已完成了上下线或许都已经迭代了几次，直接导致安全团队无法及时有效的识别出各种安全的问题，让产品带着安全隐患发布后会对产品本身带来影响，比如安全隐患被黑客利用，从而攻击企业的内部系统，为企业带来了巨大的安全隐患。

既要保持当下的敏捷开发运维模式不变，又要保证安全问题不受威胁，作为首席信息安全官李达先生运用自己18年来的从业经验，在研究并深入分析了各项运维模式的利弊之后，率行业之先河，提出了将网络安全功能左移并自动化的理念。传统的瀑布模式下是：分析确定需求——寻找解决方案——合同签署——详细需求分析——设计开发——测试——上线——持续运维这样的流程。在这种模式下，安全团队往往是在上线前的阶段才介入的，而这时候发现的各种安全隐患很多情况下需要长时间的修复才能解决，甚至有的系统功能都要重新开发，严重影响了产品上线的时间。

敏捷开发安全运维模式则是一个迭代周期一个迭代周期的，每个迭代周期是：安全需求标准化——自动化的安全架构分析——开发（提供自动化的安全工具，开发过程中快速发现安全漏洞并及时修复）——自动化安全测试——上线——进入下一个产品迭代周期这样的流程。

在敏捷式开发的模式下，李达将各种安全需求标准化形成文档和规范，同时开发出一套自动化的安全架构分析方案。在这个方案中，全部是一环扣一环，并且在每个流程中出现问题都可以随时解决，而不必等到上线前针对完整的系统代码进行检测时再改动。由此看出安全工作前置的重要性，在安全投入和软件开发投入间做好平衡，从管理广度和深度等层面逐级投入、开展安全工作是企业当前最优的解决方案。

在李达开创的这一敏捷式安全运维体系下，首先可以通过将安全的需求左移，能够让应用团队早期便知道各种网络安全的需求并加入到设计开发当中，等于提前掌握了各项工作需求进行前期充分的准备，快速推进各个项目；其次，这一敏捷式运维流程，很多环节都是通过开发各种自动化工具，替代了以前的人为工作量，从而在效率上得到大幅的提升；再次，通过这种敏捷式的流程，各个环节的衔接非常流畅，可以将一个系统的迭代周期从之前的数月甚至几年缩短到两周，并且还能有效的保证了系统的安全性，不会存在架构上的安全隐患，代码上也不会存在高危漏洞。

这一层层递进又层层衔接的运维模式，带来的良好成果就是：产品上线快，能够快速的满足业务的需求，可以快速抢占市场，为企业提前赢得经济收益。这种敏捷式开发安全运维模式，也是诸多企业决策者非常认可的模式。此外，这种贯穿开发生命周期的敏捷式开发安全运维模式已经越来越得到行业及市场的认可，至今这种贯穿式的安全运维在整个市场上有了大量的需求，创造了很高的安全价值和市场价值。（作者：思乐）