DevSecOps 和敏捷軟體開發有什麼不同?
技術社區中存在一種趨勢,經常互換地使用 DevSecOps 和敏捷軟體開發這兩個術語。儘管它們有一些相似性,例如都旨在更早地檢測風險,但在改變團隊的工作方式層面有很大不同。
DevSecOps 建立在敏捷開發建立的一些原則上。但是,DevSecOps 特別專註於集成安全功能,而敏捷開發則專註於交付軟體。
知道如何保護你們的網站或應用程序免受勒索程序和其他威脅的侵害,實際上取決於你使用的軟體和系統開發。這可能會影響你選擇使用 DevSecOps、敏捷軟體開發還是兩者兼而有之。
DevSecOps 和敏捷軟體開發的不同之處
兩者的主要區別可以歸結為一個簡單的概念:安全性。這取決於你的軟體開發實踐,你們公司的安全措施 —— 以及何時、何地以及由誰實施,都可能會有很大不同。
每個企業都需要 IT 安全來保護其重要數據。如果企業真正重視 IT 安全,一般都會採取虛擬專用網(VPN)、數字證書、防火牆保護、多因子身份驗證、安全的雲存儲,包括向員工介紹基本的網路安全措施。
當你信任 DevSecOps 時,你就會把公司的安全問題,本質上使其等同於持續集成和交付。 DevSecOps 方法論在開發之初就強調安全性,並使其成為整體軟體質量不可或缺的組成部分。
基於 DevSecOps 安全性的三大原則:
- 平衡用戶訪問難易程度及數據安全性
- 使用 VPN 和 SSL 加密數據可防止數據在傳輸過程中受到入侵者的攻擊
- 使用可以掃描新代碼的安全漏洞並能通知開發人員該漏洞的工具來預測防範未來的風險
儘管 DevOps 一直打算包含安全性,但並非每個實踐 DevOps 的組織都牢記這一點。DevSecOps 在 DevOps 的演進形式中,可以提供更加清晰的信息。儘管它們的名稱相似,但這兩個[不應混淆] 6。在 DevSecOps 模型中,安全性是團隊的主要驅動力。
同時,敏捷開發更專註於迭代開發周期,這意味著反饋意見會不斷融入到持續的軟體開發中。敏捷的關鍵原則是擁抱不斷變化的環境,為客戶和使用者提供競爭優勢,讓開發人員和利益相關者緊密合作,並在整個過程中始終保持關注技術卓越,以提升效率。換句話說,除非敏捷團隊在其定義中包括安全性,否則安全性在敏捷軟體開發中算是事後思考。
國防機構面臨的挑戰
如果要說專門致力於最大程度地提高安全性的組織,美國國防部(DoD)就是其中之一。在 2018 年,美國國防部發布了針對軟體開發中的「假敏捷」或「以敏捷為名」的指南。該指南旨在警告美國國防部高管注意不良編程的問題,並說明如何發現它以避免風險。
使用這些方法不僅可以使美國國防部受益。醫療保健和金融部門也保存著必須保證安全的大量敏感數據。
美國國防部通過其現代化戰略(包括採用 DevSecOps)來改變防範形式至關重要。尤其在這個連美國國防部容易受到黑客攻擊和數據泄露的時代,這一點在 2020 年 2 月的大規模數據泄露中已經得到了證明。
將網路安全最佳實踐轉化為現實生活中的開發仍然還存在固有的風險。事情不可能 100% 完美地進行。最好的狀況是稍微有點不舒服,最壞的情況下,它們可能會帶來全新的風險。
開發人員,尤其是那些為軍用軟體編寫代碼的開發人員,可能對所有應該採用 DevSecOps 的情境沒有透徹的了解。學習曲線會很陡峭,但是為了獲得更大的安全性,必須承受這些必不可少的痛苦。
自動化時代的新模式
為了解決對先前安全措施日益增長的擔憂,美國國防部承包商已開始評估 DevSecOps 模型。關鍵是將該方法論部署到持續的服務交付環境中。
應對這個問題,出現了三個方向。第一種涉及到自動化,自動化已在大多數隱私和安全工具中廣泛使用,包括 VPN 和增強隱私的移動操作系統。大型雲基礎架構中的自動化無需依賴於人為的檢查和平衡,可以自動處理持續的維護和進行安全評估。
第二種專註於對於過渡到 DevSecOps 很重要的安全檢查點。而傳統上,系統設計初期對於數據在各個組件之間移動時依舊可以訪問是不做期望的。
第三種也是最後一種涉及將企業方式用于軍用軟體開發。國防部的許多承包商和僱員來自商業領域,而不是軍事領域。他們的背景為他們提供了為大型企業提供網路安全的知識和經驗,他們可以將其帶入政府部門職位中。
值得克服的挑戰
轉向基於 DevSecOps 的方法論也提出了一些挑戰。在過去的十年中,許多組織已經完全重新設計了其開發生命周期,以適應敏捷開發實踐,在不久之後進行再次轉換看起來令人生畏。
企業應該安下心來,因為即使美國國防部也遇到了這種過渡帶來的麻煩,他們在應對推出新流程使得商業技術和工具廣泛可用的挑戰上並不孤獨。
展望一下未來,其實切換到 DevSecOps 不會比切換到敏捷軟體開發更痛苦。而且通過將創建安全性的價值添加到開發工作流程中,以及利用現有敏捷開發的優勢,企業可以獲得很多收益。
via: https://opensource.com/article/20/7/devsecops-vs-agile
作者:Sam Bocetta 選題:lujun9972 譯者:windgeek 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive