运维：DevSecOps

什么是DevSecOps

DevSecOps 是一场关于 DevOps 概念实践或艺术形式的变革。DevOps之父Patrick Debios 强调：“DevOps2.0时代应首先解决人的问题”，要学会系统化思考与全面思考，包括安全性、容量、连续性等内容。

DevSecOps是DevOps开发运维一体化运动的一种延伸。在开发运维中融入安全管理的实践，实现在云计算平台中快速、安全地进行软件持续交付。

DevSecOps的价值

保障业务安全

今天很多企业的业务运行在容器中。以容器安全为例像 Symantec、McAfee、TrendMicro和其他公司都提供端到端的基于容器的安全解决方案，包括反恶意软件、容器加固、监控恶意网络活动等功能。但容器和主机之间的控制，以及其他技术上的差异，使得这些产品无法支持开箱即用的容器，要求开发都必须针对容器的安全进行调整，才能保证业务的安全。

保障服务安全

DevSecOps要调整适应DevOps方法论，理解和调整安全性以适应正在制定的新流程。通过新流程保障金三角的三个部分(人、过程、技术)，保障服务的安全，需要我们在在人员、流程、技术三个内容内置安全，人员方面，在服务的过程前、过程中、过程后都应保证在基于《网安法》的前提下保障用户的隐私、数据的安全。

在过程（流程）应通过服务流程嵌入安全流程，打通开发、测试、运维与安全的集成，并一体化，才能实现DevSecOps，保障业务服务的安全。

在工具方法实现安全检查、安全开发、安全测试、安全运营相结合，才能实现技术上的安全，并结合服务的特点，与手机端，移动端相连接实现服务安全的保障。

保障DevOps自身的安全

DevSecOps是描述DevOps2.0的安全解决方案。云、容器和无服务器等技术是DevOps运动的关键。每一个都提供了新的功能并引入了新的技术栈，这些技术栈反过来又有特定的安全需求，如何保证DevOps工具链本身的安全也是防止被拖库、防止信息被泄露、防止数据外泄，IT人必须做的工作之一。