DevOps不僅僅是關(guān)于開發(fā)和運營團(tuán)隊

對于有助于在團(tuán)隊中建立安全知識的基本考慮因素，通常是在第一步中創(chuàng)建問題意識。特別是對于敏捷的工作團(tuán)隊，建立控制點非常重要。DevOps的自動化原理也有助于：有許多工具可以幫助消除手動任務(wù)，例如掃描漏洞或執(zhí)行代碼分析。

DevOps不僅僅是關(guān)于開發(fā)和運營團(tuán)隊。對于那些希望充分利用DevOps方法的敏捷性和響應(yīng)性的人來說，IT安全性必須在整個應(yīng)用程序生命周期中發(fā)揮不可或缺的作用。過去，安全在發(fā)展的最后階段的作用僅限于特定的團(tuán)隊。這不像開發(fā)周期持續(xù)數(shù)月甚至數(shù)年那樣有問題，但那些日子已經(jīng)過去了。高效的DevOps可確?？焖俸皖l繁的開發(fā)周期(有時可在數(shù)周或數(shù)天內(nèi)完成)，但過時的安全實踐甚至可以回收最好的DevOps計劃。

持續(xù)安全

在DevOps的協(xié)作框架中，安全性是一項共同的責(zé)任，從頭到尾集成。這是一種非常重要的思維模式，有些人創(chuàng)造了“DevSecOps”這一術(shù)語，強(qiáng)調(diào)了在DevOps計劃中提供安全基礎(chǔ)的必要性。DevSecOps意味著從一開始就思考應(yīng)用程序和基礎(chǔ)架構(gòu)的安全性。它還意味著自動化一些安全門以防止DevOps工作流減慢。選擇持續(xù)集成安全合適的工具可以幫助實現(xiàn)安全目標(biāo)，而是一個有效的DevOps安全需要的不僅僅是新的工具 - 它建立在DevOps的文化變化給安全小組的工作整合宜早不宜遲，

無論是“DevOps”還是“DevSecOps”，將安全性視為整個軟件生命周期不可或缺的一部分始終是理想的選擇。DevSecOps是關(guān)于內(nèi)置安全性的，而不是用作軟件和數(shù)據(jù)警察的安全性。當(dāng)安全性首次到達(dá)開發(fā)流程的末尾時，使用DevOps的公司可以回到他們最初想要避免的長期開發(fā)周期。

DevSecOps強(qiáng)調(diào)需要在DevOps計劃開始時邀請安全團(tuán)隊來構(gòu)建信息安全并定義安全自動化計劃。它還強(qiáng)調(diào)了幫助開發(fā)人員開展安全工作的必要性。此過程中，安全團(tuán)隊透明地分享對已知威脅的反饋和見解

，有助于相互理解。這也可能包括針對開發(fā)人員的新安全培訓(xùn)，因為他們并不總是成為傳統(tǒng)應(yīng)用程序開發(fā)的焦點。

內(nèi)置安全性是什么樣的?

一個好的DevSecOps策略首先要確定風(fēng)險承受能力并執(zhí)行風(fēng)險 - 收益分析。給定應(yīng)用程序中需要多少安全控件?各種應(yīng)用程序的快速市場推出有多重要?自動執(zhí)行重復(fù)任務(wù)是DevSecOps的關(guān)鍵，因為在管道中執(zhí)行手動安全檢查可能非常耗時。

此外，有必要促進(jìn)孤立的團(tuán)隊之間更密切的合作。所有這些舉措都從人的層面開始 - 具有商業(yè)合作的特殊性。這些應(yīng)該下臺并考慮整個開發(fā)和運營環(huán)境。這包括版本控制庫，集裝箱登記，持續(xù)集成和持續(xù)部署管道(CI / CD)，API管理(應(yīng)用編程接口)，編排和發(fā)布自動化和運營管理和監(jiān)控。新的

自動化技術(shù)幫助公司引入了更靈活的開發(fā)實踐，并幫助推動了新的安全措施。

但自動化并不是近年來IT領(lǐng)域中唯一發(fā)生變化的事情：容器和微服務(wù)等云技術(shù)現(xiàn)在是大多數(shù)DevOps計劃的重要組成部分，DevOps的安全性需要適應(yīng)滿足他們的要求。云原生技術(shù)不適用于靜態(tài)安全策略和檢查表。相反，安全性必須在應(yīng)用程序和基礎(chǔ)架構(gòu)生命周期的每個階段都是連續(xù)的和集成的：

標(biāo)準(zhǔn)化和自動化(供應(yīng)，部署，修補(bǔ))

中央身份和訪問管理

集成安全掃描器的容器

CI管道內(nèi)的自動安全測試

隔離微服務(wù)

傳輸級加密

檢查已知漏洞

工具的使用 - 與其他領(lǐng)域一樣 - 并不能代替背景。更重要的是，一個人處理背景并逐步進(jìn)行。這個過程模型也很好地適應(yīng)了變得越來越好的敏捷思維。為什么不安全?通過合理的努力，可以將Continuous Security作為Continuous Delivery的一部分來實施。在幾乎所有方面，都可以考慮安全方面。因此，可以編寫用戶故事以進(jìn)行強(qiáng)化，或者在技術(shù)要求中也可以考慮安全相關(guān)點。通常建議，特別是在較大的項目中，填補(bǔ)安全冠軍的角色，并可能安排一個或多個安全沖刺。

創(chuàng)建安全準(zhǔn)則

在創(chuàng)建用戶故事時考慮安全性

執(zhí)行代碼掃描

由安全冠軍進(jìn)行同行評審

安排滲透測試

在團(tuán)隊中創(chuàng)建安全技術(shù)變得絕對必要。然而，首先，有必要創(chuàng)建問題意識。