如果實(shí)施正確，DevSecOps代表了兩全其美：不僅可以加快安全流程，還可以使代碼更安全。在本文中，我們將研究什么是DevSecOps，它可以為您的組織提供的好處，以及如何開始向其過渡。

在最初引入該概念時(shí)，許多人認(rèn)為DevOps是毫無意義的流行語。盡管如此，至少在某種程度上，許多組織已經(jīng)應(yīng)用了將IT運(yùn)營和軟件開發(fā)無縫集成在一起的方法的基本見解。

從本質(zhì)上講，向DevOps的過渡需要對(duì)軟件公司的工作方式進(jìn)行文化上的轉(zhuǎn)變，在這種轉(zhuǎn)變中，獨(dú)立團(tuán)隊(duì)的孤僻性質(zhì)已被更全面，更具溝通性的方法所取代。

在這種文化轉(zhuǎn)變成功的基礎(chǔ)上，許多人正在尋找如何進(jìn)一步利用它的好處。

這些新穎的方法中的一些方法側(cè)重于培訓(xùn)初級(jí)同事成為一名DevOps工程師。其他人則試圖將業(yè)務(wù)團(tuán)隊(duì)整合到IT和開發(fā)流程中，并將DevOps整合到BizDevOps中。但是，到目前為止，最常見的方法是開始將網(wǎng)絡(luò)安全團(tuán)隊(duì)帶入DevOps流程，并過渡到DevSecOps。

在本文中，我們將研究什么是DevSecOps，它可以為您的組織提供的好處，以及如何開始向其過渡。

什么是DevSecOps？

一方面，DevOps的開發(fā)可以看作是對(duì)提高開發(fā)速度的回應(yīng)。十年前，IT運(yùn)營團(tuán)隊(duì)幾乎從未與開發(fā)人員進(jìn)行過交談，因此，在開發(fā)軟件時(shí)并未考慮到持續(xù)的維護(hù)。通過整合這些團(tuán)隊(duì)，公司能夠在開發(fā)流程的最開始就收集來自運(yùn)營團(tuán)隊(duì)的意見，并確保軟件不必經(jīng)過兩個(gè)團(tuán)隊(duì)之間重復(fù)且耗時(shí)的反饋循環(huán)。

DevSecOps的大多數(shù)定義都采用了這一中心思想，并將其擴(kuò)展為包括另一組員工：網(wǎng)絡(luò)安全團(tuán)隊(duì)。盡管大多數(shù)組織中其他團(tuán)隊(duì)的集成度不斷提高，但網(wǎng)絡(luò)安全團(tuán)隊(duì)通常仍然處于孤立狀態(tài)，與開發(fā)人員的交流很少。這意味著，在發(fā)布軟件之前（有時(shí)甚至在發(fā)布之后），安全團(tuán)隊(duì)必須詳盡檢查軟件是否存在安全漏洞。此過程需要花費(fèi)大量時(shí)間。

通過將安全團(tuán)隊(duì)與現(xiàn)有的DevOps團(tuán)隊(duì)整合，希望可以在早期階段發(fā)現(xiàn)安全問題，并希望開發(fā)人員可以通過設(shè)計(jì)模型來朝著安全方向發(fā)展。

通過盡早與安全人員合作，還希望可以在設(shè)計(jì)階段而不是在追溯階段解決經(jīng)常被忽視的軟件安全問題，例如在途加密和網(wǎng)絡(luò)托管。硬化過程。

尤其是對(duì)于小型企業(yè)而言，選擇虛擬主機(jī)時(shí)，整個(gè)事情比您意識(shí)到的要重要得多。它不僅是啟動(dòng)電子商務(wù)網(wǎng)站的平臺(tái)，您的托管選擇還會(huì)影響網(wǎng)站性能的可靠性和安全性。

DevSecOps的好處

除了開發(fā)軟件的速度之外，DevSecOps還有許多其他好處。

最重要的功能之一就是能夠以比當(dāng)前更高的基礎(chǔ)水平將安全監(jiān)控集成到軟件中。網(wǎng)絡(luò)安全的和開發(fā)團(tuán)隊(duì)的整合，將“自然”導(dǎo)致對(duì)安全監(jiān)測(cè)和評(píng)估軟件的呼叫被內(nèi)置到軟件從開發(fā)周期的開始，甚至允許小企業(yè)來衡量其水平的網(wǎng)絡(luò)安全成熟。

除了增加透明度之外，向DevSecOps的過渡還使安全人員可以更深入地了解軟件的實(shí)際工作方式以及構(gòu)建軟件所涉及的折衷方案。過去十年中，安全團(tuán)隊(duì)與運(yùn)營團(tuán)隊(duì)之間缺乏溝通，最不幸的后果之一是每個(gè)團(tuán)隊(duì)都已經(jīng)建立了自己的觀察世界的方式。

網(wǎng)絡(luò)安全工程師善于掃描外部威脅，并將不斷爭(zhēng)辯是否需要將強(qiáng)加密應(yīng)用于每個(gè)級(jí)別的軟件。他們通常不太擔(dān)心軟件的內(nèi)部操作，或者對(duì)它們的了解不多，或者如果以這種方式應(yīng)用加密，性能會(huì)降低多少。

進(jìn)行過渡

對(duì)于已經(jīng)成功實(shí)施DevOps的公司來說，過渡到DevSecOps并不困難，甚至沒有破壞性。但是，在此過渡期間要牢記三個(gè)關(guān)鍵原則。

首先是尊重DevOps和安全團(tuán)隊(duì)的現(xiàn)有專業(yè)知識(shí)。換句話說，您不應(yīng)嘗試將其中一個(gè)團(tuán)隊(duì)直接集成到另一個(gè)團(tuán)隊(duì)中，而應(yīng)僅將安全性委派給運(yùn)營團(tuán)隊(duì)。

其次，在此基礎(chǔ)上，認(rèn)識(shí)到培訓(xùn)通常是您成功過渡所擁有的最有用的工具。當(dāng)前IT技能差距最困難的方面之一是，許多大學(xué)課程都側(cè)重于安全或開發(fā)，因此，專注于前者的畢業(yè)生通常甚至不具備基本的網(wǎng)絡(luò)安全知識(shí)，例如如何設(shè)置VPN或如何選擇一個(gè)強(qiáng)密碼。同樣，將需要向網(wǎng)絡(luò)安全團(tuán)隊(duì)學(xué)習(xí)安全編碼的基礎(chǔ)知識(shí)，以便做出有效的貢獻(xiàn)。

最后，不要試圖復(fù)制軟件開發(fā)“傳統(tǒng)”模型的負(fù)面方面。在DevSecOps團(tuán)隊(duì)中，安全人員的作用不僅是執(zhí)行其工作歷來具有特征的威脅情報(bào)。相反，應(yīng)該對(duì)他們進(jìn)行持續(xù)服務(wù)交付和持續(xù)集成的基本原理方面的培訓(xùn)，并讓他們扮演開發(fā)顧問的角色，而不是軟件發(fā)布的守門員。

立足成功

如果實(shí)施正確，DevSecOps代表了兩全其美：不僅可以加快安全流程，還可以使代碼更安全。如果您已經(jīng)具備了DevOps的關(guān)鍵組件，并且現(xiàn)在正在尋求在不損害安全性的前提下擴(kuò)展啟動(dòng)范圍，那么DevSecOps就是做到這一點(diǎn)的方法。