开发和维护(DevOps)已经在19%的IT企业中使用,另有19%处于试验阶段,35%计划在2017年实施DevOps。以上数据来自于大型企业的调查结果上周刚刚召开数据中心、基础设施和运维会议的分析公司。明年将是DevOps跨越鸿沟的一年。随着DevOps变得越来越主流,在其代码中构建安全性是不可避免的。不管“devsecops”这个词是否流行,必须提升安全性以更早进入软件供应链的时代已经到来。什么是DevOps?在DevOps中包含安全性之前,首先定义DevOps可能会有所帮助。困难之一是每个DevOps项目都是独一无二的。开发运维畅销书的作者之一GeorgeSpafford《凤凰计划》曾说过:“让5个人来定义开发运维,你会得到7个不同的答案。”Gartner对开发运维有一个定义,使用的是内部术语,对于不熟悉敏捷开发方法论的人来说可能不太理解。定义DevOps存在阻力,因为固定的行业标准可能会违背以最适合公司业务需求的方式实现它的目标。因此,没有标准的定义,但有助于理解这个公案。敏捷开发源于更快创新的压力。但是,开发和发布的速度受到基础设施和运维的限制。因此,DevOps更紧密合作的压力是DevOps背后的驱动力。作为一项草根运动,越来越多的人一致认为DevOps支持以下原则,尽管定义一直存在争议:创新自动化可以帮助***DevOps是关于使用协作、敏捷的方法来解决业务问题或应用信息技术来抓住商机。DevOps和安全性如何交织在一起?如果一家公司正在使用DevOps,则可以使用以下6条原则来启用安全性来支持DevOps工作:1.DevOps的存在是为了帮助公司取得成功安全一直享有”虽然“没有部门”的声誉仍然是一个重要部分为了通过策略确保信息安全,业务需求在这些策略中也必须占据同等重要的位置,而不仅仅是在安全实践方面。两者不应该互相敌视。业务部门必须了解并承认风险。同时,在联合协作中,安全部门必须关注如何帮助公司获得竞争优势。2.覆盖面很广,但重点是希望在数字化变革的世界中取胜的IT公司(想想Uber对出租车行业的影响),而IT处于这场变革的中心。但它并不孤单地位于圆圈的中心。需要与公司的其他部门协作,例如人力资源、财务、运营甚至外部供应商。信息安全应在风险承受能力和公司监管要求范围内,不断寻求尽可能顺畅地相互通信。3.基础是敏捷和精益了解从丰田制造运营部借鉴的敏捷宣言和精益原则,将极大地有利于安全专业人员融入DevOps。安全必须协调努力以实现持续集成/交付/部署,并提供主动消除软件供应链约束(例如许可等待时间)的方法。4、文化很重要。开发和运维最大的区别就是强调协作。这是一种共享共同目标以完成某事的文化心态,也是代表业务而非技术产出的衡量标准。安全应该融入到降低风险的共同努力中,而不是表现得像一个疏远的批评者。5.反馈是创新的源泉实验和学习对DevOps很重要,而这些需要足够的反馈,尤其是来自业务的反馈。这种反馈需要暴露给每个人,以便做出改进和更大的创新,但它也需要像“合理解剖”这样的东西来改进系统。DevOps中的安全文化必须避免成为一种指责文化。6、自动化可以帮助自动化带来更快、更方便、更高质量的交付。工具是DevOps的力量倍增器,但不是它的基础。自动化不会增强协作,但它确实使协作变得更容易。用于测试、认证或监控的安全工具应包含在DevOps工具链中,其输出应广泛共享以进行改进。2017年是信息安全团队与DevOps携手合作,成为业务和其他IT部门更好的合作伙伴的一年。组织依靠这种能力以更快的速度和更低的风险进行创新,以抓住机遇并承受数字化的压力。
