速度，速度，彈性–這三個要素都是DevOps中的關(guān)鍵要素，無需為了安全而犧牲它們。無論如何，需要通過打破某些質(zhì)疑來穩(wěn)定文化基礎(chǔ)。在本文中，Brian Kelly解釋了如何實現(xiàn)這一目標(biāo)。

組織正在爭相創(chuàng)建和發(fā)布革命性的應(yīng)用程序和服務(wù)，以使其與競爭對手區(qū)分開來并提供卓越的客戶體驗。像DevOps這樣的變革性方法的采用使這成為可能-放慢速度，這在競爭環(huán)境中是不可行的。

隨著更快的大規(guī)模代碼交付成為軟件開發(fā)的新規(guī)范，并且持續(xù)交付（CD）管道使DevOps團隊能夠大規(guī)模構(gòu)建和部署應(yīng)用程序，因此秘密越來越多。密碼，密鑰和憑據(jù)正在越來越多地被創(chuàng)建和分發(fā)，它們都必須受到保護。

文化脫節(jié)

CyberArk委托最近進行的一項獨立調(diào)查發(fā)現(xiàn)，盡管DevOps專業(yè)人員認(rèn)識到機密管理的重要性，但DevOps與安全團隊之間存在脫節(jié)，這使標(biāo)準(zhǔn)化機密管理面臨挑戰(zhàn)。

60％的受訪者認(rèn)為他們的安全團隊“缺乏專業(yè)技術(shù)知識，無法與開發(fā)人員和DevOps同行進行有意義的互動?！?有趣的是，幾乎與安全/ IT受訪者一樣，與DevOps受訪者相比，安全需要更多的技術(shù)專業(yè)知識。先前的研究還發(fā)現(xiàn)，在整個應(yīng)用程序開發(fā)過程中，只有41％的安全和DevOps團隊得到了很好的集成。這導(dǎo)致決策分散，更不用說構(gòu)建IT語言障礙了。

在不調(diào)整目標(biāo)并加強DevOps與安全性之間的通信的情況下，組織會公開接受未經(jīng)檢查的安全性問題，這些問題會給公司帶來風(fēng)險。

奠定文化基礎(chǔ)

不需要犧牲速度，速度和彈性來確保安全，但是需要通過打破筒倉來穩(wěn)定文化基礎(chǔ)。這是如何做：

• 將安全和DevOps團隊轉(zhuǎn)變?yōu)楹献骰锇?/strong>

開發(fā)人員應(yīng)該接受安全團隊在最佳實踐和專有技術(shù)方面的重要建議，而安全團隊?wèi)?yīng)該接受在現(xiàn)代軟件工程經(jīng)常迅速爆發(fā)的現(xiàn)實中工作的新方法。 

培訓(xùn)開發(fā)人員“像攻擊者一樣思考”，并建立正式系統(tǒng)以確保DevOps團隊了解安全風(fēng)險并實施良好的安全實踐。擁抱堅固的宣言。安全團隊需要了解開發(fā)人員在保護機密方面面臨的挑戰(zhàn)以及他們用于解決機密問題的方法。即使應(yīng)用程序的實際編碼是由開發(fā)人員完成的，安全團隊也需要能夠與他們進行可靠的通信。在團隊之間建立同理心，致力于將Dev和Ops整合到DevOps中，并且相同的方法可以確保安全。

• 移動安全“左”

安全性必須盡早納入開發(fā)流程中，并且只有在安全性和開發(fā)團隊進行協(xié)作時才能實現(xiàn)。DevOps領(lǐng)導(dǎo)者應(yīng)盡早將安全方面的代表包括在關(guān)鍵計劃和決策中，安全團隊需要將注意力集中在增量，小批量連續(xù)交付上，以此作為提高安全性的方法，從長遠來看將獲得更好的結(jié)果。

通過在開發(fā)過程中盡早進行協(xié)作，可以在不影響業(yè)務(wù)速度的情況下提高安全性。

• 不斷進行評估

安全，開發(fā)和運營團隊可以通過共享目標(biāo)和指標(biāo)來建立共識（例如，是否在公共存儲庫的代碼中找到了機密？已保護了百分之幾的應(yīng)用程序機密？一旦機密性得到保護，它們被訪問的頻率如何？）。這有助于DevOps和安全團隊圍繞共同的目標(biāo)進行調(diào)整，并建立通用的詞匯表。

在大多數(shù)情況下，提高安全性是通過不斷進步來實現(xiàn)的。團隊?wèi)?yīng)該突出每個成功，然后在它們的基礎(chǔ)上繼續(xù)發(fā)展。例如，組織可以使用指標(biāo)來顯示已解決了多少攻擊面，或者每個DevOps團隊滿足安全要求的程度如何。旨在取得一些初步的成功，以證明安全性和效率方面的提高，并從那里擴展出來。 

DevOps的興起從根本上改變了圍繞網(wǎng)絡(luò)安全風(fēng)險和機密管理的對話。但是，也許從我們的調(diào)查中得出的最重要的結(jié)論是，DevOps和安全響應(yīng)者都認(rèn)識到，秘密管理應(yīng)該是整個企業(yè)范圍內(nèi)的協(xié)作過程。這種共識為在團隊之間建立更緊密的協(xié)作，使企業(yè)比他們以前認(rèn)為的可能更具創(chuàng)新性-而不犧牲安全性-提供了必要的共同基礎(chǔ)。