采用云優先策略的企業正在以驚人的速度發展。規模較大的企業可能每天進行數千次部署，同一時期的代碼更改次數可能達到數十萬次。

除此之外，以技術為中心的企業可能會雇用數百名開發人員：在這種情況下，跟蹤和理解每個項目或準確跟蹤他們的工作變得極其困難。這樣的速度和數量意味著早期設計的安全程序(安全團隊在部署之前檢查和測試代碼)不再實用。

在成功采用DevOps之后，現在已經進入了DevSecOps時代，在這個時代，安全團隊將重點轉移到使開發人員能夠更安全地構建代碼，并且開發人員在安全配置的云計算環境中對基于安全基礎的安全代碼負責。

如果這聽起來像是增加很多額外的工作，那么事實上，典型的云計算應用程序中只有大約20%的代碼是其應用程序所獨有的，這又使情況變得更加復雜。其余情況還包括Linux操作系統文件、開放源代碼庫、它們的依賴項和其他繼承的元素。開發人員需要更多幫助來確定應用程序中潛在的漏洞、更廣泛的代碼庫和配置。需要采用自動化技術來采用高度復雜的安全工具集。

工作中的安全自動化

實現自動化可以采取多種形式，進入這一領域的第一步將取決于企業的實際情況及其主要痛點。第一步是確保按設置的時間間隔自動掃描應用程序及其組件的漏洞。正如美國一家云計算通信平臺即服務公司的高級安全工程師所說：“自動化是大規模確保安全性的關鍵，因為它消除了人為錯誤。當我們實現自動化時，就會發現更多的漏洞?！毙枰涀〉氖牵词乖谡Ｇ闆r下進行掃描，對于訓練有素的團隊而言，這也會造成潛在的薄弱環節，此外，如果已經實現了自動化，那么這是一項多余的工作。

這家云通信公司的團隊已經將這種自動化技術向前推進了一步。他們開發了一個GitHub應用程序，該應用程序利用該工具的API來監視該公司應用程序主要分支的更改和提取請求。當拉取請求合并時，它將自動導入項目以進行掃描。當創建、刪除或重命名項目時，它也會做出反應，觸發適當的安全措施。該公司現在已經開放了該工具的源代碼，這可以讓其他人從其創新中受益。

一家在線旅行社對其系統是否存在安全漏洞十分關注。該公司正在經歷以上提到的大規?？焖侔l展的情況，因此需要采用自動化技術。該公司一位軟件工程師指出：“以我們目前的經營規模，人工審查代碼和配置是一場噩夢?！痹摴緵Q定構建自己的儀表板應用程序，以便開發人員和管理人員能夠通過API調用來收集信息，從而為開發人員和管理人員提供跨項目安全所需的可見性。

由于在管道流程方面需要協助，促使一家美國媒體公司創建了自己的內部應用程序，該應用程序通過Cloudtrail檢測新的容器映像，掃描它們中的漏洞，并使用其安全工具的API來獲取結果和處理這些信息，為相關團隊和開發人員創建Jira票證。該公司的平臺工程總監表示，該業務可以處理數千個容器映像以及多達7000個代碼存儲庫。只有通過盡可能多地實現工作流程的自動化，才能確信風險得到了持續發現和緩解。

不斷實現自動化

隨著企業不斷實現自動化，必須考慮多種因素才能獲得最佳效果。首先，這很可能會影響安全工具的整體選擇，并且希望自動化工具有更強的適應性。在制定決策時，功能強大且文檔齊全的API的可用性似乎并不總是被優先考慮，而是創建完全可以滿足企業需求的安全自動化工具。對于其他企業(通常是規模較小的企業)，選擇的編程語言所固有的SDK的可用性將是絕對必要的。

當這家媒體公司開發自己的內部應用程序時，該公司平臺工程總監強調的第二個關鍵點是仔細考慮自動化的結果。如果一次掃描可以檢測到數千個漏洞，那么簡單地出現故障單，要求解決所有漏洞問題，可能會很快造成低級別作業的日志阻塞，并讓開發團隊感到沮喪。與其相反，系統會過濾掉不可修復或無法利用的漏洞，并根據這些漏洞對應用程序安全性的影響程度對任務進行優先級排序。該系統還使開發人員更輕松地處理故障單，提供有關補丁可用性的建議以及描述漏洞性質的文檔鏈接。

關于自動化項目的最后一點是要確保始終記住目標是使工作盡可能輕松。創建新的流程、新的工具或跳轉的方法可能是必要的一步。在可能的情況下，盡量使用開發人員日常使用的工具，無論是通過IDE、存儲庫還是票務系統。當自動化在不增加問題的情況下實現安全性時，這就是企業應該努力實現的理想組合。