DevOps不僅僅是關(guān)于開發(fā)和運(yùn)營團(tuán)隊(duì)

對于有助于在團(tuán)隊(duì)中建立安全知識的基本考慮因素，通常是在第一步中創(chuàng)建問題意識。特別是對于敏捷的工作團(tuán)隊(duì)，建立控制點(diǎn)非常重要。DevOps的自動(dòng)化原理也有助于：有許多工具可以幫助消除手動(dòng)任務(wù)，例如掃描漏洞或執(zhí)行代碼分析。

DevOps不僅僅是關(guān)于開發(fā)和運(yùn)營團(tuán)隊(duì)。對于那些希望充分利用DevOps方法的敏捷性和響應(yīng)性的人來說，IT安全性必須在整個(gè)應(yīng)用程序生命周期中發(fā)揮不可或缺的作用。過去，安全在發(fā)展的最后階段的作用僅限于特定的團(tuán)隊(duì)。這不像開發(fā)周期持續(xù)數(shù)月甚至數(shù)年那樣有問題，但那些日子已經(jīng)過去了。高效的DevOps可確?？焖俸皖l繁的開發(fā)周期(有時(shí)可在數(shù)周或數(shù)天內(nèi)完成)，但過時(shí)的安全實(shí)踐甚至可以回收最好的DevOps計(jì)劃。

持續(xù)安全

在DevOps的協(xié)作框架中，安全性是一項(xiàng)共同的責(zé)任，從頭到尾集成。這是一種非常重要的思維模式，有些人創(chuàng)造了“DevSecOps”這一術(shù)語，強(qiáng)調(diào)了在DevOps計(jì)劃中提供安全基礎(chǔ)的必要性。DevSecOps意味著從一開始就思考應(yīng)用程序和基礎(chǔ)架構(gòu)的安全性。它還意味著自動(dòng)化一些安全門以防止DevOps工作流減慢。選擇持續(xù)集成安全合適的工具可以幫助實(shí)現(xiàn)安全目標(biāo)，而是一個(gè)有效的DevOps安全需要的不僅僅是新的工具 - 它建立在DevOps的文化變化給安全小組的工作整合宜早不宜遲，

無論是“DevOps”還是“DevSecOps”，將安全性視為整個(gè)軟件生命周期不可或缺的一部分始終是理想的選擇。DevSecOps是關(guān)于內(nèi)置安全性的，而不是用作軟件和數(shù)據(jù)警察的安全性。當(dāng)安全性首次到達(dá)開發(fā)流程的末尾時(shí)，使用DevOps的公司可以回到他們最初想要避免的長期開發(fā)周期。

DevSecOps強(qiáng)調(diào)需要在DevOps計(jì)劃開始時(shí)邀請安全團(tuán)隊(duì)來構(gòu)建信息安全并定義安全自動(dòng)化計(jì)劃。它還強(qiáng)調(diào)了幫助開發(fā)人員開展安全工作的必要性。此過程中，安全團(tuán)隊(duì)透明地分享對已知威脅的反饋和見解

，有助于相互理解。這也可能包括針對開發(fā)人員的新安全培訓(xùn)，因?yàn)樗麄儾⒉豢偸浅蔀閭鹘y(tǒng)應(yīng)用程序開發(fā)的焦點(diǎn)。

內(nèi)置安全性是什么樣的?

一個(gè)好的DevSecOps策略首先要確定風(fēng)險(xiǎn)承受能力并執(zhí)行風(fēng)險(xiǎn) - 收益分析。給定應(yīng)用程序中需要多少安全控件?各種應(yīng)用程序的快速市場推出有多重要?自動(dòng)執(zhí)行重復(fù)任務(wù)是DevSecOps的關(guān)鍵，因?yàn)樵诠艿乐袌?zhí)行手動(dòng)安全檢查可能非常耗時(shí)。

此外，有必要促進(jìn)孤立的團(tuán)隊(duì)之間更密切的合作。所有這些舉措都從人的層面開始 - 具有商業(yè)合作的特殊性。這些應(yīng)該下臺(tái)并考慮整個(gè)開發(fā)和運(yùn)營環(huán)境。這包括版本控制庫，集裝箱登記，持續(xù)集成和持續(xù)部署管道(CI / CD)，API管理(應(yīng)用編程接口)，編排和發(fā)布自動(dòng)化和運(yùn)營管理和監(jiān)控。新的

自動(dòng)化技術(shù)幫助公司引入了更靈活的開發(fā)實(shí)踐，并幫助推動(dòng)了新的安全措施。

但自動(dòng)化并不是近年來IT領(lǐng)域中唯一發(fā)生變化的事情：容器和微服務(wù)等云技術(shù)現(xiàn)在是大多數(shù)DevOps計(jì)劃的重要組成部分，DevOps的安全性需要適應(yīng)滿足他們的要求。云原生技術(shù)不適用于靜態(tài)安全策略和檢查表。相反，安全性必須在應(yīng)用程序和基礎(chǔ)架構(gòu)生命周期的每個(gè)階段都是連續(xù)的和集成的：

標(biāo)準(zhǔn)化和自動(dòng)化(供應(yīng)，部署，修補(bǔ))

中央身份和訪問管理

集成安全掃描器的容器

CI管道內(nèi)的自動(dòng)安全測試

隔離微服務(wù)

傳輸級加密

檢查已知漏洞

工具的使用 - 與其他領(lǐng)域一樣 - 并不能代替背景。更重要的是，一個(gè)人處理背景并逐步進(jìn)行。這個(gè)過程模型也很好地適應(yīng)了變得越來越好的敏捷思維。為什么不安全?通過合理的努力，可以將Continuous Security作為Continuous Delivery的一部分來實(shí)施。在幾乎所有方面，都可以考慮安全方面。因此，可以編寫用戶故事以進(jìn)行強(qiáng)化，或者在技術(shù)要求中也可以考慮安全相關(guān)點(diǎn)。通常建議，特別是在較大的項(xiàng)目中，填補(bǔ)安全冠軍的角色，并可能安排一個(gè)或多個(gè)安全沖刺。

創(chuàng)建安全準(zhǔn)則

在創(chuàng)建用戶故事時(shí)考慮安全性

執(zhí)行代碼掃描

由安全冠軍進(jìn)行同行評審

安排滲透測試

在團(tuán)隊(duì)中創(chuàng)建安全技術(shù)變得絕對必要。然而，首先，有必要?jiǎng)?chuàng)建問題意識。