4大维度3大预测,基于容器生态扩张的DevSecOps为啥

DevOps并不只是一个时髦的概念,而是已成为软件是否高质量交付的衡量标准。借助DevOps,企业可以更快速地交付软件,更灵活地进行IT部署,最大化实现业务价值,这也是为什么在过去几年里,DevOps一直被热捧的原因。

DevSecOps可能不是一个优雅的术语,但其结果是有吸引力的: 在开发的早期带来更强大的安全性。DevOps最终是要建立更好的软件,也意味着更安全的软件。

另外,DevOps能够快速发展,跟数字化时代的变革也有关系。在以云计算、大数据、人工智能等为主导的数字化时代,只有采用更完备的技术支撑体系,才能满足企业更高速发展和灵活性需求。从某种意义上来说,DevOps已成为企业在数字化竞争中能否获胜的最关键一环。

像任何IT术语一样,DevSecOps--由DevOps衍生而来,很容易被炒作和盗用。但是这个术语对拥抱DevOps文化的IT领导者以及实现其承诺的实践和工具而言,具有真正的意义。

那么,到底什么才是DevOps的关键点?DevOps的未来发展有哪些新趋势?本文总结了五个关键点!

DevSecOps什么意思?

一、DevSecOps

Datic公司首席技术官兼共同创始人RobertReeves说:“DevSecOps是开发,安全和运维的组合。它提醒我们,对于应用程序来说,安全和创建、部署到生产上同样重要。”

“DevSecOps”由DevOps演变而来,强调的是一种安全理念和模式。核心理念是,从软件规划、开发时,就要考虑安全因素,而不是软件交付之后,才考虑安全问题。维护软件安全,是整个IT团队的责任,包括开发、运维及安全团队中的每个人,贯穿软件生命周期的每一个环节。

向非技术人员解释DevSecOps的一个简单方法:它有意识地更早地将安全性融入到开发过程中。

虽然DevSecOps与小型初创企业的关系不大,但对于安全以及合规性有着严格要求的企业来说,比如:金融服务、医疗机构和政府行业,DevSecOps就显得尤为重要。这些行业在过去都有同一个挑战,那就是开发和安全团队是分离模式,负责安全的人通常在软件开发结束时,才发现安全问题,没有达到标准,只能推倒重来,反反复复浪费开发人员的时间。

红帽安全战略家Kirsten Newcomer 最近告诉我们: “历史上,安全团队从开发团队中分离出来,每个团队都在不同的IT领域拥有深厚的专业知识 。“其实不需要这样。关心安全的企业也非常关心通过软件快速交付业务价值的能力,这些企业正在寻找方法,将安全性留在应用开发生命周期内。通过在整个CI / CD中集成安全实践,工具和自动化来采用DevSecOps。”

DevSecOps理念可以改变这一现象,通过固化流程、加强跨部门协作,以及通过工具、技术手段,让安全属性嵌入到整条流水线。DevSecOps把重复性的安全工作融入到研发体系内,并进行自动化,进而把安全测试中存在的孤立性、滞后性、随机性、覆盖性、变更一致性等问题及早解决。

她说:“为了做到这一点,他们正在整合团队。安全专业人员将从应用开发团队一直嵌入到生产部署中。” “双方都看到了价值,每个团队都拓展了他们的技能和知识基础,成为更有价值的技术专家。正确的DevOps或DevSecOps ,提高IT安全性。”

二、持续交付

IT团队的任务是更快,更频繁地交付服务。DevOps成为一个很好的推动因素,部分原因是它可以消除开发和运营团队之间的一些传统冲突,Ops通常在部署之前被排除在外,而Dev将其代码丢在无形的墙上,从来不进行二次管理,更没有任何的基础设施维护责任。说得委婉一些,在数字化时代,这种孤立的做法会产生问题。按照Reeves的说法,如果安全是孤立的,也会存在类似的问题。

如今,持续交付和持续部署已成为开发团队的标准操作流程,传统软件那种软件包的交付模式已成为过去式。

Reeves说:“我们采用DevOps,它被证明可以通过扫除开发与运维之间的障碍来提高IT的性能。“就像不应该等到部署周期结束才开始运维一样,也不应该等到最后才考虑安全问题。”
DevSecOps为什么会出现?

过去,软件开发的效率非常低,开发人员在完成一个开发任务后,就会把代码封装,待所有任务完成后,被打包到一个版本中。而在持续交付与持续部署模式下,对代码进行更改、集成和构建时,会更简单、高效。代码被自动推送到非生产环境中,以运行一系列用于生产部署的连续测试。简单理解,持续交付不用等待大型版本发布,IT团队需要推出更小、更频繁的版本。这样,软件可以更快地进入用户的手中,并允许团队更快地收集反馈,最终导致更快的上市时间,实现更大的业务价值。

将DevSecOps看作是另一个流行语是一种诱惑,但对于安全意识强的IT领导者来说,这是一个实质性的概念。安全必须是软件开发流程中的“一等公民”,而并非最终步骤部署,或者更糟糕,只有在发生实际的安全事件后才受到重视。

三、云

SumoLogic公司安全与合规副总裁George Gerchow表示:“DevSecOps不仅仅是一个流行词,由于诸多原因它是IT的当前和未来状态。“最重要的好处是能够将安全性融入到开发和运营流程中,为实现敏捷性和创新提供保障。”

我们可以看到,越来越多的企业开始把工作负载迁移到云环境,这已不是什么稀奇事。DevOps也从云应用中获益,通过云的模式,提高开发团队的工作效率。比如,开发人员只需通过一张卡或者一个按钮,就可以从云中获取资源。另外,通过云部署测试环境,让用户拥有更大的灵活性。

此外,在场景中出现的DevSecOps可能是DevOps自身正在成熟并深入挖掘IT内部的另一个标志。

四、危机意识

“企业DevOps文化意味着开发人员能够以更快的速度向生产环境提供功能和更新,特别是当自组织团队更加乐于协作和衡量结果。”CYBRIC首席技术官兼联合创始人Mike Kail说。

现在,熟悉DevOps概念的IT经理或工程总监,已经随处可见。但在五年前,情况并非如此。

在采用DevOps的同时,保持原有的安全实践的团队和公司会遇到更多的管理安全风险的痛苦,因为DevOps团队会部署地更快、更频繁。
手动测试安全方法逐渐落后
“目前,手动测试安全方法逐渐落后,利用自动化和协作将安全测试转移到软件开发生命周期,从而推动DevSecOps文化,这是IT领导者提高整体弹性和交付安全保证的唯一路径。”凯尔说。

网络为人类的发展带来了太多的便捷,也让DevOps降低了门槛,人们通过网络就能轻而易举地获得DevOps方法和最佳实践。但是,这为企业应用带来了风险,竞争对手也可以通过开发者社区的模式,获得同样的方法和实践经验。换句话说,当满大街都是DevOps,DevOps也就不再是什么竞争优势了。

(早期)对安全性测试的改变也让开发人员受益:在开发新服务或部署更新服务之前,他们并没有发现代码中的明显漏洞,而是经常在开发的早期阶段发现并解决潜在的问题,几乎没有安全人员的介入。

五、自动化

SAS首席信息安全官Brian Wilson表示:“正确的做法是,DevSecOps可以将安全性纳入开发生命周期,使开发人员能够更快,更方便地保护应用程序,不会造成安全干扰。

自动化是DevOps的核心内容。为了提高开发人员的效率,减少手动操作,一些可重复的流程必须要自动化。

Wilson将静态(SAST)和源代码分析(SCA)工具集成到团队的持续交付中,帮助开发人员在代码中对潜在问题,以及第三方依赖的漏洞进行反馈。

为了实现持续交付,代码会自动推送到连续的测试环境中,进行自动测试。一些兼容性测试、功能测试、性能测试等,都以自动化的方式执行,而不需要占用开发人员的时间。随着多云环境的增强,未来我们可能会看到更多跨云部署的可互操作的测试环境。

Wilson说:“开发人员可以主动、反复地缓解app的安全问题,并重新进行安全扫描,无需安全人员参与。DevSecOps还可以帮助开发团队简化更新和修补程序。

DevSecOps并不意味着企业不再需要安全专家,就像DevOps并不意味着企业不再需要基础架构专家一样。它只是有助于减少瑕疵进入生产的可能性,或减缓部署。
DevSecOps遭遇的危机

来自Sumo Logic公司的Gerchow分享了DevSecOps文化的实例:当最近的Meltdown和Spectre消息出现时,团队的DevSecOps方法能够迅速做出响应,以减轻风险,而对内外部客户没有任何明显的干扰。 对云原生和受高度监管的公司来说非常重要。

第一步,Gerchow的小型安全团队(具备开发技能)能够通过Slack与其主要云供应商之一合作,确保基础设施在24小时内完全修补好。

“然后,我的团队立即开始了OS级别的修复,不需要给终端用户停机时间,也无需请求工程师,那样意味着要等待长时间的变更管理流程。所有这些变化都是通过Slack打开自动化Jira tickets进行的,并通过日志和分析解决方案进行监控,“Gerchow解释说。

这听起来像DevOps文化,正确的人员、流程和工具组合相匹配,但它明确地将安全作为该文化和组合的一部分。

本文由美洲杯在哪买球发布于计算机教程,转载请注明出处:4大维度3大预测,基于容器生态扩张的DevSecOps为啥

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。