江苏龙网

  1. 首页 > 资讯 > 科技 > >

DevOps|安全性只是辅助效果?解读DevSecOps的核心动机


北京联盟_本文原题:安全性只是辅助效果?解读DevSecOps的核心动机
DevSecOps背后的思想仅是对DevOps的扩展 。 就像开发人员以瀑布式开发风格将项目扔给运营团队以使其在生产中工作一样 , 即使使用“ DevOps” , 安全性也与应用程序开发或运营完全分开 。
DevSecOps一词通常与“向左移动安全性”结合使用 。 这意味着应用程序的开发人员应在设计时考虑安全因素 , 而不是将其单独留给安全团队 。 似乎大多数人自然而然地将注意力集中在DevSecOps方法 , 如何着重于将安全性集成到开发过程中 , 特别是CI / CD管道 , 但人们也可能会说DevSecOps也涉及“转移权利” 。
容器安全公司Snyk的创始人Guy Podjarny说:“这是一个概括性的术语 , 就像DevOps一样 , 适用于我们如何构建和分类以及运输和交付软件 , 以及如何在运行时对其进行分类 。 ”
DevOps|安全性只是辅助效果?解读DevSecOps的核心动机
本文插图

为什么采用DevSecOps?
相对忽略运营和安全性如何组合的原因是 , 大多数人从迁移到DevSecOps时获得的最大好处既不是提高安全性也不是提高可靠性 。 在大多数情况下 , 组织似乎采用DevSecOps的原因与更快地将应用程序推向市场有关 。 换句话说 , 是为了满足与DevSecOps团队开发人员通常相关的激励措施 。
“我认为已经成功完成DevSecOps的组织能够将产品 , 新产品 , 新功能交付市场 , 比竞争对手快得多 。 ” Palo Alto Networks公共云首席安全官Matt Chiodi解释说 。 “有纯粹的商业利益 。 ”
红帽 OpenShift产品经理Kristen Newcomer表示 , 她发现公司通过采用DevSecOps , 将部署周期从38周转移到了7周 。
在传统的安全设置中 , 安全团队通常不会检查代码 , 直到代码已经遍及整个开发流程为止 。 发现问题后 , 安全团队将把项目以及要修复的问题列表发送给开发人员 。 漫长的反馈循环减慢了项目的交付速度 , 同时也加剧了安全与开发人员之间的紧张关系 。
在实践中 , 将安全性分开还可以使安全性问题更容易进入生产环境 。 Chiodi说:“大多数组织花费80%或更多的时间在运行阶段 。 ” “当安全性在构建 , 发布和运行过程中平均分配时 , 您最终会减少很多的漏洞 , 然后这些漏洞会在运行时出现 。 ”
但是 , 在接受采访的安全专家中 , 似乎已经达成共识 , 即改善组织的安全状况不是采用DevSecOps的核心动机 , 而是令人意想不到的辅助效果 。
正确设置DevSecOps
哪个组织不希望更快 , 更安全地交付应用程序?许多新公司从一开始就采用DevSecOps方法 , 但是要成功建立起大型组织的DevSecOps并不容易 。 从DevOps迁移到DevSecOps可能至少与从瀑布式迁移到DevOps一样具有挑战性 。
“我所见过的在DevSecOps上真正成功的团队在执行层得到了认可 , ” Newcomer解释说 。 DevSecOps需要重大的文化变革 , 并涉及对每个参与人员激励措施的转变 。 如果没有高层的支持 , DevSecOps要求的文化变革可能无法实现 。
集装箱安全公司StackRox的产品负责人Hillaryaryson解释说:“ 每当您必须改变人们的思维或行动方式时 , 这将是最艰难的战斗 。 ” “而且 , 关于如何获得DevSecOps必杀技 , 还没有真正的既定蓝图 。 ”
改变安全性的角色
Newcomer说:“安全是No团队的声誉 。 ” DevSecOps的目标是改变这种动态 , 以使安全性不再是部署路径上的障碍 。 但这涉及更改安全专业人员的工作方式 。
首先 , DevSecOps需要高度的自动化 。 安全团队根本不应该运行手动测试 , 而应该将测试集成到CI / CD管道中 , 应该在没有安全专业人员干预的情况下获得有关应用程序或功能的安全风险的反馈 。


推荐阅读


上一篇:孟晚舟|孟晚舟案败诉!美国为什么要揪住孟晚舟不放?根本原因在这里!

下一篇:碳基|打压刚开始,半导体制备材料就取得关键突破,直接“掀桌子”