在DevOps流程中或之后將安全性作為一個階段來進行，會錯過安全性可以在代碼，云和基礎(chǔ)結(jié)構(gòu)之間提供的更大范圍的方法。相反，值得花時間在開發(fā)過程中建立安全性。

沒有人愿意制造不安全的軟件。我們想要制作一款功能強大的軟件，可以滿足需要，實現(xiàn)目標并做到優(yōu)雅。但是，隨著時間的壓力，急于提供更新的信息以及持續(xù)引起關(guān)注的喧囂，實現(xiàn)這一目標可能會更加困難。對于開發(fā)人員來說，始終將工作代碼放在首位。

這錯過了開發(fā)人員面臨的最大挑戰(zhàn)之一-確保交付的代碼是安全的。擁有安全軟件的愿望與交付軟件的責任之間存在明顯的差異。例如，MongoDB在2020年初宣布了對安全性的研究，在該研究中，對開發(fā)人員的新應(yīng)用方法進行了調(diào)查。92％的開發(fā)人員表示，他們在開發(fā)應(yīng)用程序時會采取適當?shù)念A(yù)防措施，而47％的開發(fā)人員則認為，在購買新解決方案時，數(shù)據(jù)安全是重中之重。

但是，只有29％的開發(fā)人員同意，在自己軟件的安全性方面，他們負有最大的責任。接受調(diào)查的人員則以IT安全團隊，運營部門或其他專家為負責。但是，還有誰最適合從一開始就實現(xiàn)安全性，從而不必在生產(chǎn)中解決問題或在軟件開發(fā)生命周期（SDLC）的后期進行處理？

安全性–固定式還是內(nèi)置式？

在此背后，軟件開發(fā)人員必須對方法進行根本性的考慮，以解決安全問題。一方面，您認為安全是在產(chǎn)品投入生產(chǎn)之前，SDLC必須經(jīng)歷的一個階段。這涉及檢查代碼，應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)，然后再投入生產(chǎn)。如果出現(xiàn)任何問題，則可以將其傳遞回去修復(fù)。

另一方面，您認為應(yīng)將安全性嵌入整個SDLC中。在整個開發(fā)，編碼，測試和實施階段，開發(fā)人員都可以使用安全工具，而不是要經(jīng)歷的階段。這并不意味著向團隊提供工具，而是如何將安全性真正地集成到那些開發(fā)人員的工作流和流程中。

對于所涉及的開發(fā)人員，兩種方法都應(yīng)該產(chǎn)生相同的結(jié)果–安全的代碼和應(yīng)用程序可以承受嚴苛的工作壽命。但是，他們到達該目的地的路線卻大不相同。

在DevOps流程中或之后將安全性作為一個階段來進行，會錯過安全性可以在代碼，云和基礎(chǔ)結(jié)構(gòu)之間提供的更大范圍的方法。它也可能無法順應(yīng)開發(fā)人員想要利用的新平臺，例如軟件容器。相反，它的作用類似于阻止或阻止軟件發(fā)布的傳統(tǒng)安全功能方法。盡管可以理解，但它并不是最協(xié)作的方法，由于目標不一致，甚至可以顛覆它。

相反，值得花時間在開發(fā)過程中建立安全性。這涉及將安全工具直接集成到開發(fā)人員已經(jīng)具備的持續(xù)集成和持續(xù)交付管道中。這可以通過使用Jenkins，Bamboo或Circle CI等工具中提供的API和插件架構(gòu)，然后在創(chuàng)建任何軟件資產(chǎn)時使用這些工具來實現(xiàn)。更重要的是，這些工具實際上對開發(fā)人員或測試人員本身是不可見的；他們在自己喜歡的環(huán)境中繼續(xù)工作，并且僅使用結(jié)果數(shù)據(jù)。

采取協(xié)作方式來實現(xiàn)安全性

在開發(fā)過程中管理安全最佳實踐和漏洞時，這一點尤其重要。OWASP和ISC2等組織提供了許多最佳實踐框架，可用于提高軟件質(zhì)量，而軟件漏洞工具可用于自動掃描軟件組件或代碼中的任何問題。通過使過程自動化并將其轉(zhuǎn)換為API調(diào)用，開發(fā)人員可以在SDLC期間的任何時候自行執(zhí)行該過程。

如果出現(xiàn)問題，則可以自動將其標記出來并重新添加到隊列中，以供開發(fā)人員進行調(diào)查和修復(fù)。這使安全的代碼和應(yīng)用程序開發(fā)成為SDLC的標準部分，而不是每個人都在為完成交付而費力的階段。

這種變化也更有利于團隊之間的協(xié)作。由于安全團隊為開發(fā)人員提供工具和支持，因此它們不會成功部署。相反，他們是值得信賴的同事，可以幫助加快項目進度并消除障礙。理想情況下，應(yīng)將安全團隊嵌入開發(fā)和部署中，以努力理解并實現(xiàn)相同的目標。

隨著時間的流逝，安全性應(yīng)該始終是整個SDLC的一部分，并在此過程中盡可能向左轉(zhuǎn)移。這可以幫助所有人實現(xiàn)交付安全代碼和應(yīng)用程序的目標。它不是每個人的問題，而是每個人的責任。通過采取正確的方法并從一開始就建立安全性，參與交付軟件的每個人都可以從一開始就發(fā)揮自己的作用。