什麼是DevSecOps
DevSecOps 是一場關於 DevOps 概念實踐或藝術形式的變革。DevOps之父Patrick Debios 強調:“DevOps2.0時代應首先解決人的問題”,要學會系統化思考與全面思考,包括安全性、容量、連續性等內容。
DevSecOps是DevOps開發運維一體化運動的一種延伸。在開發運維中融入安全管理的實踐,實現在雲計算平臺中快速、安全地進行軟件持續交付。
DevSecOps的價值
保障業務安全
今天很多企業的業務運行在容器中。以容器安全爲例像 Symantec、McAfee、TrendMicro和其他公司都提供端到端的基於容器的安全解決方案,包括反惡意軟件、容器加固、監控惡意網絡活動等功能。但容器和主機之間的控制,以及其他技術上的差異,使得這些產品無法支持開箱即用的容器,要求開發都必須針對容器的安全進行調整,才能保證業務的安全。
保障服務安全
DevSecOps要調整適應DevOps方法論,理解和調整安全性以適應正在制定的新流程。通過新流程保障金三角的三個部分(人、過程、技術),保障服務的安全,需要我們在在人員、流程、技術三個內容內置安全,人員方面,在服務的過程前、過程中、過程後都應保證在基於《網安法》的前提下保障用戶的隱私、數據的安全。
在過程(流程)應通過服務流程嵌入安全流程,打通開發、測試、運維與安全的集成,並一體化,才能實現DevSecOps,保障業務服務的安全。
在工具方法實現安全檢查、安全開發、安全測試、安全運營相結合,才能實現技術上的安全,並結合服務的特點,與手機端,移動端相連接實現服務安全的保障。
保障DevOps自身的安全
DevSecOps是描述DevOps2.0的安全解決方案。雲、容器和無服務器等技術是DevOps運動的關鍵。每一個都提供了新的功能並引入了新的技術棧,這些技術棧反過來又有特定的安全需求,如何保證DevOps工具鏈本身的安全也是防止被拖庫、防止信息被泄露、防止數據外泄,IT人必須做的工作之一。