DevSecOps可能不是一个优雅的术语,但结果很有吸引力:在开发早期提供更强的安全性。DevOps最终是关于构建更好的软件,这也意味着更安全的软件。与任何IT术语一样,DevSecOps(源自DevOps)很容易被炒作和盗用。但对于拥护DevOps文化以及实践和工具以兑现其承诺的IT领导者而言,该术语具有真正的意义。DevSecOps是什么意思?“DevSecOps是开发、安全和运营的结合,”Datic的首席技术官兼联合创始人RobertReeves说。“它提醒我们,安全对于应用程序的创建和部署到生产中同样重要。”向非技术人员解释DevSecOps的一种简单方法:这是在早期将安全性构建到开发过程中的有意识努力。RedHat安全策略师KirstenNewcomer最近告诉我们:“从历史上看,安全团队从开发团队中分离出来,每个团队都在不同的IT领域拥有深厚的专业知识。”不一定是这样。关注安全性的企业也非常关注通过软件快速交付商业价值的能力,这些企业正在寻找在应用程序开发生命周期中保持安全性的方法。通过跨CI/CD集成安全实践、工具和自动化来采用DevSecOps。“为了做到这一点,他们正在整合团队,”她说。安全专业人员将从应用程序开发团队一直嵌入到生产部署中。“双方都看到了价值,每个团队都扩展了他们的技能和知识基础,成为更有价值的技术专家。”获得正确的DevOps或DevSecOps,提高IT安全性。“IT团队的任务是更快、更频繁地交付服务。DevOps成为一个很好的推动者,部分原因是它消除了开发和运营团队之间的一些传统冲突,在这些冲突中,Ops通常在部署之前被排除在外,而Dev将其代码放在隐形墙,从不进行二级管理,不承担任何基础设施维护责任。说得客气一点,在数字时代,这种孤立的做法会产生问题。据Reeves说,如果安全是孤立的,也会存在类似的问题。Reeves说:“我们采用DevOps,它已被证明可以通过消除开发和运维之间的障碍来提高IT的性能。“就像你不应该等到部署周期结束才开始运营一样,你也不应该等到最后才考虑安全问题。”为什么DevSecOps在这里?人们很容易将DevSecOps视为另一个流行词,但对于具有安全意识的当今IT领导者来说,这很重要,这是一个实质性概念。安全必须是软件开发过程中的“一等公民”,而不是部署的最后一步,或者更糟的是,只有在实际安全事件发生之后。“DevSecOps不仅仅是一个流行语,它是IT的当前和未来状态,原因有很多,”SumoLogic安全与合规副总裁GeorgeGerchow说。“最重要的好处是能够将安全性集成到开发和运营流程中。”,为实现敏捷创新提供保障。“此外,DevSecOps在现场的出现可能是DevOps本身正在成熟并深入IT内部的另一个迹象。”企业DevOps文化意味着开发人员可以更快的速度向生产环境交付功能和更新,尤其是当自组织团队更愿意协作和衡量结果时。CYBRIC的首席技术官兼联合创始人MikeKail说。在采用DevOps的同时保持传统安全实践的团队和公司在管理安全风险方面会遇到更多痛苦,因为DevOps团队部署速度更快、更频繁。手动测试安全方法落后“目前,手动测试安全方法落后,利用自动化和协作将安全测试转移到软件开发生命周期中,从而推动DevSecOps文化,即IT领导者提高整体弹性并提供安全保证唯一的路径。“对安全测试(早期)的更改也使开发人员受益:Kyle不是在开发新服务或部署更新服务之前发现代码中的明显漏洞,而是经常在开发早期发现它们并解决潜在问题,而很少或根本没有安全参与。SAS首席信息安全官BrianWilson表示,如果做得好,DevSecOps可以将安全性纳入开发生命周期,使开发人员能够更快、更轻松地保护应用程序,而不会造成安全干扰。Wilson将静态(SAST)和源代码分析(SCA)工具集成到团队的持续交付中,以帮助开发人员就代码中的潜在问题以及第三方依赖项中的漏洞提供反馈。“开发人员可以主动和迭代地缓解应用程序安全问题,并在没有安全人员参与的情况下重新运行安全扫描,”Wilson说。DevSecOps还可以帮助开发团队简化更新和补丁。DevSecOps并不意味着企业不再需要安全性。专家,就像DevOps一样,并不意味着企业不再需要基础架构专家。它只是有助于减少缺陷进入生产或减慢部署速度的可能性。DevSecOps遭遇的危机来自SumoLogic的Gerchow。示例:当最近的Meltdown和Spectre新闻出现时,该团队的DevSecOps方法能够快速响应以降低风险,而不会对内部或外部客户造成任何明显的干扰。对于云原生和高度监管的公司很重要作为第一步,Gerchow的小型安全团队(具有开发技能)能够通过Slack与他们的主要云提供商之一合作,以确保基础设施在24小时内得到全面修补。”我的团队当时“立即启动操作系统级修复,不会给最终用户带来停机时间,也不会召集工程师,这意味着等待漫长的变更管理过程。所有这些变更都是通过Slack打开自动Jira票证进行的,并通过日志记录和分析解决方案进行监控,”解释道Gerchow.这听起来像是一种DevOps文化,人员、流程和工具的正确组合相匹配,但很明显“在传统环境中,停机时间需要数周或数月,因为开发、运营和安全这三个功能都是孤立的,”Gerchow说。借助DevSecOps流程和理念,最终用户可以通过简单的沟通和当天修复获得无缝体验。“2018DevSecOpsThreePredictions2018将迎来企业DevSecOps的一些真正变化。2017年对于DevSecOps来说是丰收的一年,因为DevSecOps从一个半模糊的概念演变为一个可行的企业功能。容器和容器市场快速扩张在很大程度上推动了这种演变,容器市场与DevOps和DevSecOps本质上交织在一起。快速增长和创新往往比一般科学更能预测趋势,但我仍然愿意试一试。从DockerHub中捕获的超过120亿个图像和成熟的容器生态系统,我们几乎看不到企业DevSecOps的冰山一角。但是,相信在2018年,我们会看到:根本性变化的开始。我认为它会是这样的:1.业务领导者和IT利益相关者意识到DevSecOps正在改进DevOpsDevOps将开发和运营团队聚集在一起,并且它推动协作文化也就不足为奇了。加入安全计划听起来很简单,但多年来,安全一直是事后才想到的,导致了一种企业文化,这种文化倾向于让安全团队与其他IT部门(包括开发部门)对抗。但事情发生了变化。在雅虎亏损3.5亿美元、暴露出其脆弱的安全状况的商业环境中,企业领导者将网络安全视为运营漏洞的时代已经结束。加强网络安全现在已成为企业的当务之急。但这种转变需要时间才能回到IT文化中。DevOps和DevSecOps的兴起无疑为重塑应用程序安全创造了难得且令人兴奋的机会,但DevOps可能会导致转型步伐发生变化。DevOps团队和应用程序架构师每天都认识到安全的重要性,并欢迎安全团队加入,但他们之间仍有差距需要弥合。为了正确实施DevSecOps,安全团队需要与DevOps团队保持一致,而业务领导者需要为此创造空间和预算。2019年,让我们希望商界领袖抓住机会,推动取得重要、合法的安全胜利。2.一个成功的组织模型很可能会出现,安全和DevOps团队之间的紧密协作。虽然这个预测不是特别有启发性,但它是相关的。了解DevSecOps需要安全和DevOps团队的平等协作,快速跟踪标准蓝图或实施模型以将DevSecOps集成(并最终自动化)到CI/CD过程中。虽然不同的企业有不同的需求,但大多数公司使用相同的技术工具,尤其是在使用容器时。这就为统一标准化提供了条件。此外,容器的开源特性可以促进相关信息的共享和标准的制定。到目前为止,DevOps团队一直在安全方面处于领先地位,因为他们拥有开发流程。但是,在我看来,DevSecOps需要由安全团队来领导,安全团队负责企业的安全和风险,当安全事件发生时,他们被解雇或被迫离开。2018年,安全团队需要加强并展示团队的价值和技能。将安全性集成到IT结构中,而不是在网络安全问题成为现实之后再考虑。现在我们有机会实现这个目标。3.安全团队适应DevOps现实的速度仍然很慢过去,企业安全团队通常在不重视或不了解安全需求的文化中运作。难怪当今的电子商务环境是大多数企业相对容易受到破坏的环境。强大的安全性超越了外围的防火墙。虽然许多安全专家最终可能会看到这种转变,但它可能不像DevOps团队希望的那样灵活。谈到容器(通常是应用程序安全),即使是最有才华和最优秀的安全专家也面临着学习曲线。更不用说有据可查的网络安全技能短缺问题了。虽然这些因素可能会在短期内减少对DevOps和DevSecOps的安全支持,但我认为DevSecOps是解决技能短缺问题的一部分。与在部署应用程序之前解决安全漏洞的追溯方法相比,将安全性集成到应用程序交付流程中并使其自动化更有效且更具成本效益。通过以新的方式使用他们的才能,安全专业人员可以收获很多。2018年,希望这个故事有个圆满的结局。
