。

当开发周期长达数月、甚至数年时#xff0c;这样做没什么问题#xff1b;但是现在#xff0c;这种做法现在已经行不通了。

DevOps

可以有效推进快速频繁的开发周期#xff08;有时…从前安全防护只是特定团队的责任在开发的最后阶段才会介入。

当开发周期长达数月、甚至数年时这样做没什么问题但是现在这种做法现在已经行不通了。

DevOps

可以有效推进快速频繁的开发周期有时全程只有数周或数天但是过时的安全措施则可能会拖累整个流程即使最高效的

DevOps

团队的共同责任需要贯穿至整个生命周期的每一个环节。

这个理念非常重要因此催生出了“DevSecOps”一词即在开发和运维紧密结合的基础上再强调了Security强调必须为

DevOps

意味着从一开始就要考虑应用和基础架构的安全性同时还要让某些安全网关实现自动化以防止

DevOps

选择合适的工具来持续集成安全防护比如在集成开发环境IDE中集成安全防护功能有助于实现这些目标。

但是高效的

DevOps

DevSecOps的目的和意图是建立在“每个人都对安全负责”的思想基础上目标是在不牺牲所需安全性的前提下将安全决策快速、大规模地分发给拥有最高级别上下流的人员。

如今也是同样的原因致使传统的安全领导者竭力争取自己在行政会议上的一席之地。

虽然这一席之地能够保证安全决策有效性的提高但由于价值创造过程中缺乏所需安全技能的供应导致成果在产出过程中摩擦增多、速度减缓。

如果没有足够的人手企业经营者就无法达到业务运营商所期望的速度也就意味着他们必须改变安全价值的贡献方式否则风险就会增加。

随着DevOps、敏捷和公共云服务的业务需要传统的安全流程已成为需要削减的主要目标。

但可悲的是这又是最容易忽略的一点。

传统安全性的出发点是一旦设计了系统便可以由安全人员确定系统的安全缺陷并由业务运营商在发布系统之前对其进行纠正。

这一原则允许流程将有限的安全技能应用于结果并且不必在大型系统中额外增加安全环境。

但是这样设计的流程只有在业务活动的速度是瀑布式的并且得到各方同意的情况下才有效。

更糟的是在迭代中引入认为安全必须以这种方式运行的想法是有缺陷的也会在系统内增加固有风险。

因为业务决策需要内联平衡并以较快的速度解决。

因此这一方式尚未得到实现.

三、DevSecOps优势及实施

在价值创造生命周期的最后阶段安全团队几乎不可能拥有呈现安全决策所需的所有信息。

随着价值创造过程加快提供迭代价值以便紧密地联系客户的需求更可能的是一次性完成整个系统的测试实际上对结果具有破坏性。

实际上以这种方式做出的大多数安全决策很少有效经常被业务领导人否决并且通常会在事件或破坏发生时受到质疑。

因此随着DevOps的不断变化传统的安全性不再是一种选择。

在通过迭代构建的系统的设计和发布中协作已经太晚了。

但随着DevSecOps的引入业务运营商或安全人员都没有必要放弃降低风险的措施相反组织内的每个人都应该拥抱并改进它使其得到那些有能力为系统贡献安全价值的人的支持。

有个很棒的说法是如果没有刻意的内置安全控制系统故障是肯定的因为仅仅是避免安全就会给系统带来更多风险。

因此认为价值创造与安全性不能合作的观点是非常荒谬的。

DevSecOps建立的思维模式包括为业务运营商提供了工具和决策帮助他们进行安全决策以及为安全人员提供使用、调整这些工具的支持这非常适合协作型团队。

在这种情况下安全工程师与DevSecOps宣言保持一致该宣言表明了安全从业者必须提供的价值以及他们必须做出的更改以使安全价值能够提供给更大的生态系统。

通过这种方式DevSecOps工程师为系统提供的价值是在非合作的攻击者发现缺陷之前持续监视、攻击并确定缺陷。

这需要业务生态系统中的所有人包括安全人员为迭代的价值创造做出贡献并不需要为了团队中安全从业者的缺失而过度焦虑。

DevSecOps作为一种思维方式和安全性转换有助于流程与其他安全更改合作。

换句话说如果您认为需要将安全性添加到“开发”或“运营”或某些其他业务流程中那就没关系了需要将安全性添加到所有业务流程中并且需要创建一个专门的团队来建立对业务的理解、发现缺陷的工具、持续的测试以及预测作为业务操作人员如何做出决策的科学。

此外为了实现全面的转型DevSecOps需要执行管理层和董事会参与提供相关信息这些信息是业务如何在当今经济所代表的竞争日益激烈的低信任度环境中运营和保护团队的关键指标。