在许多组织中,DevOps 与安全性是分开运作的。 随着开发和部署速度的加快,安全控制常常被视作事后才考虑的事情。 然而,事实证明,DevSecOps 运动尽早将安全性纳入其中,获得了回报。
DevOps 是一套通过打破软件开发和 IT 运营之间的孤岛来采用持续集成流程的实践。
传统上,许多组织按职能划分团队,以便在基础设施内开发、部署和管理应用。 然而,企业创新和数字化转型的竞赛加快了新功能的推出和发布速度。 安全性往往是事后才想到的,这会降低质量并导致很多客户不满意。 在开发周期即将结束时添加应用程序代码更改不仅成本极高(因为需要额外的测试和重新认证),而且还强化了“安全性减慢了我们的速度”的普遍看法。
随着周期时间的加快和开发团队采用更多敏捷方法来更快地发布软件,通过 DevOps 进行持续集成旨在提供更频繁的发布,并更快地将更多新功能推向市场。 一切都与速度有关。
在软件开发生命周期的早期采用安全最佳实践可以对成本和效率产生巨大的积极影响。 然而,在许多组织中,安全团队仍然孤立存在——就像在 DevOps 运动之前开发和运营团队孤立地运作一样。 正因为如此,一种新的运动已经出现,将安全性注入到持续集成/部署过程中: DevSecOps。
DevSecOps 运动日益流行,很大程度上要归功于一种名为“左移”的方法。“左移”是指软件开发团队从一开始就专注于健壮的代码。 这种方法使安全性从守门人的被动角色转向预防角色。 安全团队为开发团队提供指导和支持,并尽早将安全自动化构建到持续集成/持续交付(CI/CD)开发流程中。
在 DevSecOps 环境中,安全是一项共同的责任,它建立了更大的协作和反馈,打破了开发、运营和安全之间的障碍,以更低的成本和更高的效率更快地将功能推向市场。
即使安全是共同的责任,安全团队也不能指望开发人员立即成为安全专家并在第一时间做出正确的安全控制决策。 与 DevOps 一样,DevSecOps 是一种需要在应用开发和部署方式上进行文化变革的哲学。 然而,如果安全团队专注于以下五个方面,他们就可以降低成本、提高效率并提高扩展能力:
左移
并在开发生命周期中尽早将安全性融入到流程中。
让安全之路变得简单
通过专注于提供内置于开发人员(CI/CD)管道的打包、无摩擦的安全控制。
打破孤岛
增加开发、运营和安全团队(App Devs、DevOps 和 SecOps)之间的协作和反馈。
培育安全冠军
在您的开发团队中始终将安全放在首位。
创建构建管道
在开发人员使用的同一工具中构建安全控制和测试。 这样,控制就会自动且一致地应用,并且开发团队不必在每个新版本发布时都依赖安全团队。