DevSecOps 是一个被创造出来的术语,意为将安全实践整合到我们称为 DevOps 的开发环境和运维协作流程中。
实施 DevSecOps 将系统地打破软件和软件交付组织的开发、安全和运维团队间彼此封闭孤立的状态,从而覆盖与这三方面相关的所有人员和系统,使其能够协同配合并提升工作效率。
它是什么?
DevOps 旨在将一个组织的开发团队和运维团队整合起来,从而为公司构建更好的 IT 系统。DevSecOps 则将安全团队纳入这个大团队中,使确保公司安全成为开展所有软件开发工作的第一要务。
对于许多组织来说,使用不同的团队、流程和系统,将软件开发的这三方面工作分开进行是常见做法。DevSecOps 指的是一个组织选择将这三大方面结合起来,如此一来便可以整合使用相同的策略。团队可以集中精力并开发技术,将这些方面平等、和谐地结合起来。
在实践中,这体现在开发团队将在开发过程中进行安全测试,无论出现任何问题都将及时予以解决。这也意味着要确保开发团队掌握了必要的安全技能。
有何益处?
使落实安全防护成为每个人工作的一部分可降低业务风险。通过落地实施 DevSecOps,各团队不再是一座座“孤岛”,因此可以更好地就其目的和目标进行沟通,从而减少工作进入瓶颈期的次数、明确责任划分并实现专业知识与技术交流。
它提高了对自动化构建和质量保证测试的重视程度,从而能够及早识别代码中的漏洞——这应该会降低您遭受攻击的风险。
需考量的因素?
与许多敏捷工作实践办法一样,这改变了人们的工作方式,建立起合作关系并加强合作,减少了推诿责任的现象。对于某些公司来说,这是一种文化上的转变。
如何应用?
许多组织已开始转变并走上实施 DevSecOps 之路。通常情况下,这与常被称为“安全左移”的做法是相辅相成的,“安全左移”意为尽可能在生产周期的早期检查漏洞并进行情景测试。
相关主题
Would you like to suggest a topic to be decoded?
Just leave your email address and we'll be in touch the moment it's ready.