如果实施起来一切顺利的话,DevOps会给任何组织带来丰硕的回报,比如:团队之间更好的协作、更快的上线时间、更高的整体生产力以及更好的客户满意度等等。 但是,为山九仞,功亏一篑,如果不考虑安全性,所有这些积极因素都会失去意义。因此,DevSecOps中的“Sec”可以充当一个提供持续开发运维支持的可靠助手。以下将探讨关于创建DevSecOps方法学的有关内容。
传统的安全方法
在DevOps出现之前,组织在软件开发生命周期(SDLC)的最后阶段执行其产品的安全检查。因为重点主要放在满足用户功能需求的应用程序开发上,这意味着安全性被认为没有功能或性能段重要。当执行安全检查时,产品应该已经通过了大部分其他阶段的验证和确认了,并且几乎已经完全开发出来了。因此,在如此晚的阶段发现安全威胁意味着重新编写无数行代码,这是一项极其费力和耗时的任务。不足为奇的是,打补丁成为了首选的解决方案。因此,安全性被认为仅仅是一种不会出错的直觉,而不是要投入必要的时间和金钱来具体地支持它的行为。
在哪里以及如何出了问题
一直以来,IT基础设施发生了巨大的变化。然而,对于大多数安全性和合规性监控工具来说,还没有相应的进步。最终结果是大多数工具无法像典型的DevOps环境要求的那样快速测试代码。 此外,网络犯罪攻击以惊人的速度增加。国外有调查报告预测,随着越来越多的业务基础架构相互连接,单次数据泄露造成的平均成本将以亿美元为单位。 实施DevSecOps对这些问题具有直接的积极影响,因为它有助于管理这些潜在的致命的挑战。
什么是DevSecOps
安全性 在DevOps流程的每个阶段
快速和安全的代码交付对大多数企业来说可能是矛盾的,但是DevSecOps的目标就是要改变这种认知。
DevSecOps是一种以每个人都对安全负责的心态对待IT安全的方法,它包括将安全实践注入到组织的DevOps管道中,其目标是将安全性纳入软件开发工作流程的所有阶段。这与以前的开发模型是相对立的——DevSecOps意味着不是只有到SDLC的最后阶段才进行安全性检查。 如果企业已经在做DevOps,那么建议直接考虑转向DevSecOps。DevSecOps的核心是基于DevOps的原则,这样做将企业能够将来自不同技术领域的熟练人员聚集在一起,以增强现有的安全流程。
