為什麼 DevSecOps 對 IT 領導來說如此重要
如果 DevOps 最終是關於創造更好的軟體,那也就意味著是更安全的軟體。
而到了術語 「DevSecOps」,就像任何其他 IT 術語一樣,DevSecOps —— 一個更成熟的 DevOps 的後代 ——可能容易受到炒作和盜用。但這個術語對那些擁抱了 DevOps 文化的領導者們來說具有重要的意義,並且其實踐和工具可以幫助他們實現其承諾。
說道這裡:「DevSecOps」是什麼意思?
「DevSecOps 是開發、安全、運營的混合,」來自 Datical 的首席技術官和聯合創始人 Robert 說。「這提醒我們,對我們的應用程序來說安全和創建並部署應用到生產中一樣重要。」
[想閱讀其他首席技術官的 DevOps 文章嗎?查閱我們豐富的資源,DevOps:IT 領導者指南]
向非技術人員解釋 DevSecOps 的一個簡單的方法是:它是指將安全有意並提前加入到開發過程中。
「安全團隊從歷史上一直都被孤立於開發團隊——每個團隊在 IT 的不同領域都發展了很強的專業能力」,來自紅帽安全策的專家 Kirsten 最近告訴我們。「不需要這樣,非常關注安全也關注他們通過軟體來兌現商業價值的能力的企業正在尋找能夠在應用開發生命周期中加入安全的方法。他們通過在整個 CI/CD 管道中集成安全實踐、工具和自動化來採用 DevSecOps。」
「為了能夠做的更好,他們正在整合他們的團隊——專業的安全人員從開始設計到部署到生產中都融入到了開發團隊中了,」她說,「雙方都收穫了價值——每個團隊都拓展了他們的技能和基礎知識,使他們自己都成更有價值的技術人員。 DevOps 做的很正確——或者說 DevSecOps——提高了 IT 的安全性。」
IT 團隊比任何以往都要求要快速頻繁的交付服務。DevOps 在某種程度上可以成為一個很棒的推動者,因為它能夠消除開發和運營之間通常遇到的一些摩擦,運營一直被排擠在整個過程之外直到要部署的時候,開發者把代碼隨便一放之後就不再去管理,他們承擔更少的基礎架構的責任。那種孤立的方法引起了很多問題,委婉的說,在數字時代,如果將安全孤立起來同樣的情況也會發生。
「我們已經採用了 DevOps,因為它已經被證明通過移除開發和運營之間的阻礙來提高 IT 的績效,」Reevess 說,「就像我們不應該在開發周期要結束時才加入運營,我們不應該在快要結束時才加入安全。」
為什麼 DevSecOps 必然出現
或許會把 DevSecOps 看作是另一個時髦詞,但對於安全意識很強的IT領導者來說,它是一個實質性的術語:在軟體開發管道中安全必須是第一層面的要素,而不是部署前的最後一步的螺栓,或者更糟的是,作為一個團隊只有當一個實際的事故發生的時候安全人員才會被重用爭搶。
「DevSecOps 不只是一個時髦的術語——因為多種原因它是現在和未來 IT 將呈現的狀態」,來自 [Sumo Logic] 的安全和合規副總裁 George 說道,「最重要的好處是將安全融入到開發和運營當中開提供保護的能力」
此外,DevSecOps 的出現可能是 DevOps 自身逐漸成熟並紮根於 IT 之中的一個徵兆。
「企業中的 DevOps 文化已成定局,而且那意味著開發者們正以不斷增長的速度交付功能和更新,特別是自我管理的組織會對合作和衡量的結果更加滿意」,來自 [CYBRIC] 的首席技術官和聯合創始人 Mike 說道。
在實施 DevOps 的同時繼續保留原有安全措施的團隊和公司,隨著他們繼續部署的更快更頻繁可能正在經歷越來越多的安全管理風險上的痛苦。
「現在的手工的安全測試方法會繼續遠遠被甩在後面。」
「如今,手動的安全測試方法正被甩得越來越遠,利用自動化和協作將安全測試轉移到軟體開發生命周期中,因此推動 DevSecOps 的文化是 IT 領導者們為增加整體的靈活性提供安全保證的唯一途徑」,Kail 說。
轉移安全測試也使開發者受益:他們能夠在開放的較早的階段驗證並解決潛在的問題——這樣很少需要或者甚至不需要安全人員的介入,而不是在一個新的服務或者更新部署之前在他們的代碼中發現一個明顯的漏洞。
「做的正確,DevSecOps 能夠將安全融入到開發生命周期中,允許開發者們在沒有安全中斷的情況下更加快速容易的保證他們應用的安全」,來自 SAS 的首席信息安全員 Wilson 說道。
Wilson 指出靜態(SAST)和源組合分析(SCA)工具,集成到團隊的持續交付管道中,作為有用的技術通過給予開發者關於他們的代碼中的潛在問題和第三方依賴中的漏洞的反饋來使之逐漸成為可能。
「因此,開發者們能夠主動和迭代的緩解應用安全的問題,然後在不需要安全人員介入的情況下重新進行安全掃描。」 Wilson 說。他同時指出 DevSecOps 能夠幫助開發者簡化更新和打補丁。
DevSecOps 並不意味著你不再需要安全組的意見了,就如同 DevOps 並不意味著你不再需要基礎架構專家;它只是幫助你減少在生產中發現缺陷的可能性,或者減少導致降低部署速度的阻礙,因為缺陷已經在開發周期中被發現解決了。
「如果他們有問題或者需要幫助,我們就在這兒,但是因為已經給了開發者他們需要的保護他們應用安全的工具,我們很少在一個深入的測試中發現一個導致中斷的問題,」Wilson 說道。
DevSecOps 遇到 Meltdown
Sumo Locic 的 Gerchow 向我們分享了一個在運轉中的 DevSecOps 文化的一個及時案例:當最近 [Meltdown 和 Spectre] 的消息傳來的時候,團隊的 DevSecOps 方法使得有了一個快速的響應來減輕風險,沒有任何的通知去打擾內部或者外部的顧客,Gerchow 所說的這點對原生雲、高監管的公司來說特別的重要。
第一步:Gerchow 的小型安全團隊都具有一定的開發能力,能夠通過 Slack 和它的主要雲供應商協同工作來確保它的基礎架構能夠在 24 小時之內完成修復。
「接著我的團隊立即開始進行系統級的修復,實現終端客戶的零停機時間,不需要去開工單給工程師,如果那樣那意味著你需要等待很長的變更過程。所有的變更都是通過 Slack 的自動 jira 票據進行,通過我們的日誌監控和分析解決方案」,Gerchow 解釋道。
在本質上,它聽起來非常像 DevOps 文化,匹配正確的人員、過程和工具,但它明確的將安全作為文化中的一部分進行了混合。
「在傳統的環境中,這將花費數周或數月的停機時間來處理,因為開發、運維和安全三者是相互獨立的」,Gerchow 說道,「通過一個 DevSecOps 的過程和習慣,終端用戶可以通過簡單的溝通和當日修復獲得無縫的體驗。」
via: https://enterprisersproject.com/article/2018/1/why-devsecops-matters-it-leaders
作者:Kevin Casey 譯者:FelixYFZ 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive