什么是 DevSecOps ?

DevOps 不僅僅是開發(fā)和運(yùn)營團(tuán)隊(duì)。如果您想要充分發(fā)揮出 DevOps 方法的敏捷性和響應(yīng)力，則必須在應(yīng)用的整個生命周期內(nèi)同時(shí)兼顧 IT 安全性 。

為什么？以往，安全性會在開發(fā)的最后階段由特定的團(tuán)隊(duì)來負(fù)責(zé)實(shí)現(xiàn)。當(dāng)開發(fā)周期長達(dá)數(shù)月、甚至數(shù)年時(shí)，上述做法不存在任何問題；但是，這種做法現(xiàn)在已經(jīng)行不通了。有效的 DevOps 可順利推進(jìn)快速頻繁的開發(fā)周期（有時(shí)全程只有數(shù)周或數(shù)天），但是過時(shí)的安全措施會對此造成負(fù)面影響，即使對于最高效的 DevOps 計(jì)劃也是如此。

現(xiàn)在，安全防護(hù)在 DevOps 協(xié)作框架中屬于共同責(zé)任，而且需要在整個周期中 整合 相應(yīng)的安全功能。這是一個非常重要的理念。它還使得“DevSecOps”一詞應(yīng)運(yùn)而生，以用于強(qiáng)調(diào)必須為 DevOps 計(jì)劃打下扎實(shí)的安全基礎(chǔ)。

DevSecOps 意味著，從一開始就要考慮應(yīng)用和基礎(chǔ)架構(gòu)的安全性；同時(shí)還要讓某些安全網(wǎng)關(guān)實(shí)現(xiàn) 自動化 ，以防止 DevOps 工作流程變慢。選擇正確的工具來持續(xù)確保安全性有助于實(shí)現(xiàn)安全目標(biāo)。但是，有效的 DevOps 安全防護(hù)需要的不僅是新工具。它建立在 DevOps 文化變革的基礎(chǔ)上，以便盡早集成安全團(tuán)隊(duì)的工作。

DevOps 安全性為內(nèi)置特性

無論您將其稱為“DevOps”還是“DevSecOps”，最好始終能在應(yīng)用的整個生命周期內(nèi)確保安全性。DevSecOps 關(guān)乎內(nèi)置安全性，而不是應(yīng)用和數(shù)據(jù)層面的安全性。如果將安全性問題留到開發(fā)流程的最后環(huán)節(jié)再加以考慮，那么采用 DevOps 方案的組織會發(fā)現(xiàn)自己的開發(fā)周期又變長了，而這是他們從一開始就想要避免的情況。

在某種程度上，DevSecOps 強(qiáng)調(diào)，在 DevOps 計(jì)劃剛啟動時(shí)就要邀請安全團(tuán)隊(duì)來確保信息的安全性，并制定自動安全防護(hù)計(jì)劃。它還強(qiáng)調(diào)，要幫助開發(fā)人員從代碼層面確保安全性；在這個過程中，安全團(tuán)隊(duì)需要針對已知的威脅分享可見性信息、提供反饋并進(jìn)行智能分析。這可能還包括為開發(fā)人員提供新的安全培訓(xùn)，因?yàn)?DevSecOps 并非始終著眼于較為傳統(tǒng)的應(yīng)用開發(fā)模式。

那么，怎樣才算是真正地實(shí)現(xiàn)了內(nèi)置安全性？對于新手而言，優(yōu)質(zhì)的 DevSecOps 策略應(yīng)能確定風(fēng)險(xiǎn)承受能力并進(jìn)行風(fēng)險(xiǎn)/收益分析。在一個給定的應(yīng)用中，需要配備多少個安全控制功能？對于不同的應(yīng)用，上市速度又有多重要？自動執(zhí)行重復(fù)任務(wù)是 DevSecOps 的關(guān)鍵所在，因?yàn)樵诠艿乐羞\(yùn)行手動安全檢查可能會非常耗時(shí)。

DevOps 安全性可自動實(shí)現(xiàn)

企業(yè)應(yīng)該：確保采用時(shí)間短、頻率高的開發(fā)周期；采取安全措施，以最大限度地縮短運(yùn)營中斷時(shí)間；采用創(chuàng)新技術(shù)，如 容器 和 微服務(wù) ；同時(shí)，還要促使常見的孤立團(tuán)隊(duì)加強(qiáng)合作 — 這對所有企業(yè)來說都是一項(xiàng)艱巨的任務(wù)。上述所有舉措都與人有關(guān)，而且企業(yè)內(nèi)部需要協(xié)同合作；但是， 自動化 才是有助于在 DevSecOps 框架中實(shí)現(xiàn)這些人員變化的關(guān)鍵所在。

那么，企業(yè)應(yīng)該在哪些方面實(shí)現(xiàn)自動化？具體又該怎么做呢？紅帽提供了相應(yīng)的 書面指南 來幫助解答上述問題。企業(yè)應(yīng)該退后一步，并著眼于整個開發(fā)和運(yùn)營環(huán)境。其中涉及：源控制存儲庫；容器注冊表；持續(xù)集成和持續(xù)部署 (CI/CD) 管道；應(yīng)用編程接口 (API) 的管理、編排和發(fā)布自動化；以及運(yùn)營管理和監(jiān)控。

全新的自動化技術(shù)已幫助企業(yè)提高了開發(fā)實(shí)踐的敏捷性，還在推動采用新的安全措施方面起到了重要作用。但是，自動化并不是近年來 IT 領(lǐng)域發(fā)生的唯一變化?，F(xiàn)在，對于大多數(shù) DevOps 計(jì)劃而言，容器和微服務(wù)等 云原生技術(shù) 也是一個非常重要的組成部分。所以，企業(yè)必須調(diào)整 DevOps 安全措施，以適應(yīng)這些技術(shù)。

DevOps 安全性適用于容器和微服務(wù)

可通過容器實(shí)現(xiàn)的規(guī)模擴(kuò)展和基礎(chǔ)架構(gòu)動態(tài)性提升改變了許多組織開展業(yè)務(wù)的方式。因此，DevOps 安全性實(shí)踐必須適應(yīng)新環(huán)境并遵循 特定于容器的安全準(zhǔn)則 。云原生技術(shù)不適合用來落實(shí)靜態(tài)安全策略和檢查清單。相反，組織必須在應(yīng)用和基礎(chǔ)架構(gòu)生命周期的每個階段確保持續(xù)安全并整合相應(yīng)的安全功能。

DevSecOps 意味著，要在應(yīng)用開發(fā)的整個過程中確保安全性。要實(shí)現(xiàn)與管道的這種集成需要秉持一種全新的思維方式，就像使用新工具一樣?？紤]到這一點(diǎn)，DevOps 團(tuán)隊(duì)?wèi)?yīng)該實(shí)現(xiàn)安全防護(hù)自動化，以保護(hù)整體環(huán)境和數(shù)據(jù)；同時(shí)實(shí)現(xiàn)持續(xù)集成/持續(xù)交付流程——可能還要確保容器中的微服務(wù)的安全性。