DevSecOps 是啥?能干啥?怎么干?

首页    学习小记    DevSecOps 是啥?能干啥?怎么干?

DevSecOps 是啥?

        简单的说,DevSecOps就是development, security and operations的缩写。目标是让全员承担维护安全的责任,共同对安全的结果负责,让安全相关的工作能和 开发与运维同步进行,提高安全问题的参与范围和相应速度。

DevSecOps pic.png

 

        每一个实施DevOps框架的组织都应该转向DevSecOps思维模式,并且提升所有参与产品需求开发,技术开发,测试,运维等人员的安全意识和安全能力。

       从测试潜在的安全漏洞转向到构建业务驱动的安全服务模式,通过DevSecOps框架的部署和实施,确保安全性被内建到应用程序的全生命周期之中。

       通过确保在软件交付生命周期的每个阶段都存在安全相关的工作事项,并通过持续的集成和持续的发布提升软件交付的速度,降低安全合规性方面的成本。

典型的DevSecOps 工作过程

      DevSecOps的好处显而易见:在整个软件交付过程中不断尽早的,主动的,预防性的消除安全性错误,减少了被攻击的风险和提高了服务的可用性。对于希望将安全性集成到DevOps框架中的团队,可以使用合适的DevSecOps工具和流程无缝地完成该过程。

1. 开发工程师基于特定的版本开发完成代码并提及到到代码库

2. 开发工程师从代码库下载代码并完成静态扫描和代码评审,合并代码到主库

3. 完成编译,发布

4. 完成自动化测试,包括集成测试,安全测试,UI测试等

5. 完成测试后,如果没有缺陷,发布到生产环境

6. 在生产环境下对程序的运行进行监控,跟踪,识别和处理潜在的安全风险

       以上的流程,对于实施TDD开发,并且有持续集成和持续部署流水线的公司,可以将整个安全测试嵌套在整个流水线之中,达到提高代码质量,降低质量成本,加快开发速度,同时满足安全合规方面的需求的目标。

为什么需要DevSecOps

       首先是大的环境的变化,在过去十年中,IT基础设施的发展经历了天翻地覆的变化。云平台,共享存储和数据,敏捷化等,都为企业的发展提供了巨大的动力和支持,同时,也使得企业面临更激烈的市场竞争,更高的运营风险。

       DevOps框架和理念使得应用程序在速度、规模和功能上都突飞猛进,但它们往往缺乏健壮的安全性和法规合规性机制。因此,DevSecOps被引入到软件开发生命周期中,以将开发、运营和安全放在同一条小舟上,风雨同舟,肝胆相照。任何参与应用程序开发,部署和运营的部门都必须将安全性与开发和运营放在同样重要的位置予以考虑。

       黑客总是在寻找部署恶意软件和实施其他攻击的最佳途径。想象一下,如果他们能够在构建过程中将恶意软件插入到应用程序中,并且直到应用程序上线并被成千上万用户使用的时候才被发现,那对客户系统和公司声誉的损害将是巨大的,特别是在当下传媒及其发达的社会里面。

DevSecOps 怎么干?

       DevSecOps部署的核心途径是使安全性成为软件开发工作流的核心组件,而不是在开发周期的后期对其进行改进。重要的考虑事项:

1. 安全职责共担:

SkilUp.DevSecOps.jpeg

从源头上控制安全隐患,需求人员完整充分的了解应用程序的安全需求,安全特点,业务特点对安全的特殊需要以及面临的主要安全风险,。

增强开发人员的安全开发习惯,培养安全意识,提高安全编码的能力。

提升安全测试人员的渗透测试的能力,培养对安全问题的敏感性,并且尽可能早的介入。

运维人员也需要对运维阶段的安全需求,安全特点,在整个开发过程中,完整的参与讨论和决策。

2. 自动化和流程化:

DevOps是关于提升交付速度的,这不会因为添加了安全性而受到损害。通过在开发周期的早期嵌入自动化的安全控制和测试,可以确保应用程序的快速交付。

3. 持续的培训:

安全习惯的培养和形成,不是一朝一夕,没有什么灵丹妙药,只能通过不断的引导,不断的培训,不断的宣传,树立正面榜样,循序渐进。 最终,形成良好的安全文化,达到DevSecOps 所追求的最高境界。



更多信息,进群深聊

微信二维码250.jpg

 

2021年4月10日 23:11
浏览量:0
收藏