DevOps,或者说企业应用开发团队和系统运营团队的合作,已经成为一个时髦的 IT 话题。这一新的运营模式往往与敏捷式软件开发方法并举,同时还会利用云计算的可扩展性——这一切,都是为了使企业更加灵活,更具竞争力。但是,有专家指出,如今实践该方法的典型模式,其实远远不够深入。

来自 Gartner 研究公司的分析师 David Cearley 认为,当今的 CIO 应该修改 DevOps 的定义,使之包括安全理念。他称之为 DevSecOps,“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。

Cearley 还指出,企业投资防火墙、IPS 等外围防御系统本身无可厚非。但是,在塔吉特、家得宝及索尼等公司爆出的安全漏洞使其损失惨重,显然,单纯地守卫边界是不够的。在 DevOps 方案中添加安全理念之后,CIO 与其团队将不得不更加细致地考虑安全——在软件开发过程的一开始,而不是事后,就考虑安全问题。

然而,在传统的 IT 组织中,往 DevOps 实践添加安全理念更多地是人与流程的问题,而非技术问题。在许多公司组织当中,团队们在相互独立的环境中工作,甚至不存在共同的隔墙,Cearley 指出。不过,将所有人召集到同一个房间里比在所有人之间达成共识要容易得多。幸运的是,大多数企业都一个人专注于打破文化障碍,同时要求安全融入 DevOps 最佳实践,这个人就是 CIO(首席信息官)。

”CIO 是唯一能够推动安全融入 DevOps 实践的人,因为安全团队、运营团队、应用团队以及架构团队全都向他汇报“ Cearley 指出。”CIO 是领导者;CIO 必须告诉他的团队:“如果你们不能协同工作,那就没必要留下来了”。

DevSecOps 宣言

  1. CIO 驱动

  2. 不同团队间的相互协作

  3. 专注于风险,而非安全

Cearley 指出,"对抗团队在工作中”先入为主的观念与偏见”将是 CIO 面临的最大挑战。“ CIO 应该引导团队重新考虑问题。对此,有什么好的建议吗?Cearley 补充道:“CIO 不应该简单地接受关于应用开发、运营以及安全的单独报告,而应该强调合作的重要性,要求“以统一的方法开发、运营以及管理我们提供给用户的服务,同时保证这一过程的安全性。”

Cearley 还建议 CIO 们不应聚焦于安全,而应该重视风险,这可以帮助 IT 团队更好地实现业务视角与开发流程的整合。”如果你从安全出发,重点就变成了需要哪些工具来实现终极的安全。抱歉的是,这是错误的焦点,“ Cearley 指出。“ 你必须从风险入手。”通过时刻关注风险,CIO 将帮助企业理解 IT 如何帮助企业进入新市场或尝试新型的分析技术,以及 IT 如何最小化这样做的潜在危险。

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客

DevSecOps 简介(一)的更多相关文章

  1. DevSecOps简介(二)

    越来越多的组织机构开始采取 DevOps 实践,作为呼应,本文将概括强调很多人认为这一实践缺失的部分:安全.随着 NV (网络虚拟化) 和 NFV (网络功能虚拟化)的使用率逐步攀升,在开发和部署流程 ...

  2. ASP.NET Core 1.1 简介

    ASP.NET Core 1.1 于2016年11月16日发布.这个版本包括许多伟大的新功能以及许多错误修复和一般的增强.这个版本包含了多个新的中间件组件.针对Windows的WebListener服 ...

  3. MVVM模式和在WPF中的实现(一)MVVM模式简介

    MVVM模式解析和在WPF中的实现(一) MVVM模式简介 系列目录: MVVM模式解析和在WPF中的实现(一)MVVM模式简介 MVVM模式解析和在WPF中的实现(二)数据绑定 MVVM模式解析和在 ...

  4. Cassandra简介

    在前面的一篇文章<图形数据库Neo4J简介>中,我们介绍了一种非常流行的图形数据库Neo4J的使用方法.而在本文中,我们将对另外一种类型的NoSQL数据库——Cassandra进行简单地介 ...

  5. REST简介

    一说到REST,我想大家的第一反应就是“啊,就是那种前后台通信方式.”但是在要求详细讲述它所提出的各个约束,以及如何开始搭建REST服务时,却很少有人能够清晰地说出它到底是什么,需要遵守什么样的准则. ...

  6. Microservice架构模式简介

    在2014年,Sam Newman,Martin Fowler在ThoughtWorks的一位同事,出版了一本新书<Building Microservices>.该书描述了如何按照Mic ...

  7. const,static,extern 简介

    const,static,extern 简介 一.const与宏的区别: const简介:之前常用的字符串常量,一般是抽成宏,但是苹果不推荐我们抽成宏,推荐我们使用const常量. 执行时刻:宏是预编 ...

  8. HTTPS简介

    一.简单总结 1.HTTPS概念总结 HTTPS 就是对HTTP进行了TLS或SSL加密. 应用层的HTTP协议通过传输层的TCP协议来传输,HTTPS 在 HTTP和 TCP中间加了一层TLS/SS ...

  9. 【Machine Learning】机器学习及其基础概念简介

    机器学习及其基础概念简介 作者:白宁超 2016年12月23日21:24:51 摘要:随着机器学习和深度学习的热潮,各种图书层出不穷.然而多数是基础理论知识介绍,缺乏实现的深入理解.本系列文章是作者结 ...

随机推荐

  1. opensuse 安装 Anaconda3 之后出现Could not start d-bus. Can you call qdbus?

    最近在安装了opensue Leap42.1之后,想要学习一下python,就安装了Anaconda3,并且将Anaconda3的安装路径添加到了PATH里,但是在重新启动系统后,出现了"C ...

  2. 1.css的语法标准

    css(Cascading Style Sheets),中文名称为层叠样式表,主要用于对html的样式设置. 在使用CSS的时候,要注意其优先级情况,优先级由下所示(数字越高,优先级越高): 浏览器缺 ...

  3. 菜鸟学习Struts——bean标签库

    一.Struts标签库. Struts实际上包含了4个标签库:bean,logic,html,tiles bean:用来在属性范围中定义或取得属性的,同时可以读取资源文件信息 logic:替代JSTL ...

  4. 基于Elasticsearch开发时的注意事项备忘

    记录一些自己在Elasticsearch开发过程的琐碎知识点 1.使用ScriptFields时,需在yml配置文件中添加配置(script.disable_dynamic: false)开启动态脚本 ...

  5. minihttp http://www.acme.com/software/mini_httpd/

    1.安装mini_httpd 1.1把下载的mini_httpd-1.19.tar.gz拷贝到根目录   1.2 解压tar -xvfzmini_httpd-1.19.tar.gz ,会在根目录产生一 ...

  6. 三星N8000/N8010通用刷机教程

    前面已经讲到过如何给三星n8000/n8010 Galaxy Note 10.1获取ROOT权限了.接下来就顺便告诉大家怎么给三星n8000/n8010刷机吧.其实给三星n8000/n8010刷机过程 ...

  7. 关于DataSource的一些记录

    今天看WWDC的232_hd_advanced_user_interfaces_with_collection_views,里面花了一般的时间来讲如何合理的设计程序的datesource,将的很有道理 ...

  8. [笔记]学习HighCharts的使用(不错的web图表插件)

    最近有一个小项目需要用到折线图.到处请教了一下,有人给我推荐了highcharts.感觉还不错,就稍微学习下.这里记录一下学习的过程. 网上相关的内容还不少,我就说一下我学习的内容. 看的第一篇文章& ...

  9. JAVA类与对象(四)----成员变量与局部变量 、成员方法、构造方法

    类体中的变量分为两部分.变量定义部分定义的变量为类的成员变量,在方法体中定义的变量和方法中涉及的变量称为局部变量. 成员变量和局部变量的区别: (1).成员变量在整个类中都有效,局部变量只在定义它的方 ...

  10. RSA算法详解

    1.RSA加密算法是最常用的非对称加密算法 2.RSARSA以它的三个发明者Ron Rivest, Adi Shamir, Leonard Adleman的名字首字母命名, 3.目前学术界无法证明RS ...