一文读懂 DevSecOps：工作原理、优势和实现

由于 DevOps 方法的广泛采用以及由此产生的快速产品交付和部署，许多部门已采用更敏捷的方法来开发生命周期。在满足市场速度和规模要求的同时，设计安全的软件一直是现代 IT 公司共同面临的问题。结果，超过 52% 的组织因为担心上市速度落后而放弃了安全性。 由于传统技术下的安全漏洞，生产版本也出现了延迟。因此，一些企业已经采用 DevSecOps 方法来解决这个安全方面的问题。然而，当公司从 DevOps 转向 DevSecOps 时，他们经常面临一系列标准障碍。

或许对于 DevSecOps 这个词大家并不陌生，那么对于 DevSecOps 的了解又有多少呢？阅读本文，带你全面理解 DevSecOps 是什么。

什么是 DevSecOps？

DevSecOps 是描述开发、安全和运营集成的术语。它是一种文化、自动化和平台设计策略，强调安全是整个 IT 生命周期中的共同责任。DevSecOps 从一开始就考虑到安全性来创建应用程序和基础设施的做法，同时涉及自动化安全检查，以免减慢当前的 DevOps 流程。为了满足安全目标，安全团队为持续集成安全选择和配备合适、正确的工具来满足必要的保护。

DevSecOps 的工作原理

DevSecOps 是开发组织解决安全问题的必然和自然发展。在过去，企业确保软件安全的方式往往是在开发周期结束时由安全团队为软件添加保护，然后再通过 QA 团队进行测试。这在不那么频繁地提供软件升级的时候确实是可行的。

然而随着软件工程师转向敏捷和 DevOps 以将软件开发周期缩短数周甚至数天，传统的“附加”安全方法已经无法继续有效保障软件安全性。而 DevSecOps 能够将应用程序和基础架构安全性无缝地结合到敏捷和 DevOps 流程和工具中。一旦发现安全漏洞，就会立即进行处理和修复，这样就能够以更容易、更快、更便宜的方式在软件投入生产之前缓解或消除安全风险。

此外，不同于 DevOps，DevSecOps 让应用程序和基础设施的安全性成为开发、安全和 IT 运维团队的共同责任，通过在不减慢软件开发过程的情况下自动化安全软件交付。

DecSecOps 的优势

DevOps 将业务关键应用程序在性能、速度、功能和规模方面提升到了一个全新的水平。但是由于缺乏合规性和可靠的安全性，这些应用程序有时会滞后。而将 DevSecOps 集成到软件开发生命周期中就等于把开发、安全和运营置于一个统一的框架之下。借助 DevSecOps，每个开发人员和运维人员都将在开发和部署关键业务应用程序的每个阶段优先考虑安全性。

DevSecOps 的优势在于：

• 降低合规成本
• 更快地部署应用程序
• 提高软件交付率
• 从软件开发的最开始就进行安全检查、持续监控和自动部署检查
• 从应用程序开发的早期阶段提高可视性和透明度
• 在遭受安全攻击的情况下能够更快地恢复
• 通过启用进一步安全自动化来提高整体安全性

DevSecOps 的实施

实施 DevSecOps 能够让企业保持高速、敏捷地开发和创新，同时满足合规要求且永远领先攻击者一步。从 DevOps 切换到 DevSecOps 看起来复杂且不易执行，企业可以参考以下六点：

• 代码分析 - 以小规模、高频率的版本交付代码，以便更轻松高效地检查漏洞，同时将代码分析嵌入 QA 流程中。
• 变更管理 - 允许并鼓励开发人员随时提出重要任务安全更改建议并尽可能在24小时内批准更改，让变更管理流程变得更加高效。
• 合规监控 - 在开始编写代码或进行更改时收集合规性证据，以便让开发持续处于合规状态。
• 威胁研究 - 针对使用新交付代码对企业所做出的更改而产生的威胁或漏洞进行查找、调查、研究并且进行修正。
• 漏洞管理及评估 - 在发布代码并完成漏洞检查后，定期进行扫描并进行代码审查和渗透测试。
• 安全培训 - 鼓励技术人员参加行业会议或安全认证会议，并定期为他们提供安全开发的相关培训。

图片来源：Sumologic

结 论

将业务环境切换到 DevSecOps 环境的过程是一项重大任务，充满了各种各样已知和未知的挑战。企业需要始终明白的一点是， DevSecOps 既不是万能的解决方案，也不是黄金流水线。想要将 DevSecOps 变为实践的企业必须首先制定战略，通过坚持上述建议的指导建议，相信可以在安全开发方面取得可观的结果。