DevSecOps 简介（一）

DevOps，或者说企业应用开发团队和系统运营团队的合作，已经成为一个时髦的 IT 话题。这一新的运营模式往往与敏捷式软件开发方法并举，同时还会利用云计算的可扩展性——这一切，都是为了使企业更加灵活，更具竞争力。但是，有专家指出，如今实践该方法的典型模式，其实远远不够深入。

来自 Gartner 研究公司的分析师 David Cearley 认为，当今的 CIO 应该修改 DevOps 的定义，使之包括安全理念。他称之为 DevSecOps，“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。

Cearley 还指出，企业投资防火墙、IPS 等外围防御系统本身无可厚非。但是，在塔吉特、家得宝及索尼等公司爆出的安全漏洞使其损失惨重，显然，单纯地守卫边界是不够的。在 DevOps 方案中添加安全理念之后，CIO 与其团队将不得不更加细致地考虑安全——在软件开发过程的一开始，而不是事后，就考虑安全问题。

然而，在传统的 IT 组织中，往 DevOps 实践添加安全理念更多地是人与流程的问题，而非技术问题。在许多公司组织当中，团队们在相互独立的环境中工作，甚至不存在共同的隔墙，Cearley 指出。不过，将所有人召集到同一个房间里比在所有人之间达成共识要容易得多。幸运的是，大多数企业都一个人专注于打破文化障碍，同时要求安全融入 DevOps 最佳实践，这个人就是 CIO(首席信息官)。

”CIO 是唯一能够推动安全融入 DevOps 实践的人，因为安全团队、运营团队、应用团队以及架构团队全都向他汇报“ Cearley 指出。”CIO 是领导者；CIO 必须告诉他的团队：“如果你们不能协同工作，那就没必要留下来了”。

DevSecOps 宣言

1. CIO 驱动

2. 不同团队间的相互协作

3. 专注于风险，而非安全

Cearley 指出，"对抗团队在工作中”先入为主的观念与偏见”将是 CIO 面临的最大挑战。“ CIO 应该引导团队重新考虑问题。对此，有什么好的建议吗？Cearley 补充道：“CIO 不应该简单地接受关于应用开发、运营以及安全的单独报告，而应该强调合作的重要性，要求“以统一的方法开发、运营以及管理我们提供给用户的服务，同时保证这一过程的安全性。”

Cearley 还建议 CIO 们不应聚焦于安全，而应该重视风险，这可以帮助 IT 团队更好地实现业务视角与开发流程的整合。”如果你从安全出发，重点就变成了需要哪些工具来实现终极的安全。抱歉的是，这是错误的焦点，“ Cearley 指出。“ 你必须从风险入手。”通过时刻关注风险，CIO 将帮助企业理解 IT 如何帮助企业进入新市场或尝试新型的分析技术，以及 IT 如何最小化这样做的潜在危险。

如今，多样化的攻击手段层出不穷，传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护，使其免受漏洞所累。想阅读更多技术文章，请访问 OneAPM 官方技术博客。

本文转自 OneAPM 官方博客