什么是DevSecOps
什么是DevSecOps
DevSecOps 是一场关于 DevOps 概念实践或艺术形式的变革。DevOps之父Patrick Debios 强调:“DevOps2.0时代应首先解决人的问题”,要学会系统化思考与全面思考,包括安全性、容量、连续性等内容。
DevSecOps是DevOps开发运维一体化运动的一种延伸。在开发运维中融入安全管理的实践,实现在云计算平台中快速、安全地进行软件持续交付。
DevSecOps的价值
保障业务安全
今天很多企业的业务运行在容器中。以容器安全为例像 Symantec、McAfee、TrendMicro和其他公司都提供端到端的基于容器的安全解决方案,包括反恶意软件、容器加固、监控恶意网络活动等功能。但容器和主机之间的控制,以及其他技术上的差异,使得这些产品无法支持开箱即用的容器,要求开发都必须针对容器的安全进行调整,才能保证业务的安全。
保障服务安全
DevSecOps要调整适应DevOps方法论,理解和调整安全性以适应正在制定的新流程。通过新流程保障金三角的三个部分(人、过程、技术),保障服务的安全,需要我们在在人员、流程、技术三个内容内置安全,人员方面,在服务的过程前、过程中、过程后都应保证在基于《网安法》的前提下保障用户的隐私、数据的安全。
在过程(流程)应通过服务流程嵌入安全流程,打通开发、测试、运维与安全的集成,并一体化,才能实现DevSecOps,保障业务服务的安全。
在工具方法实现安全检查、安全开发、安全测试、安全运营相结合,才能实现技术上的安全,并结合服务的特点,与手机端,移动端相连接实现服务安全的保障。
保障DevOps自身的安全
DevSecOps是描述DevOps2.0的安全解决方案。云、容器和无服务器等技术是DevOps运动的关键。每一个都提供了新的功能并引入了新的技术栈,这些技术栈反过来又有特定的安全需求,如何保证DevOps工具链本身的安全也是防止被拖库、防止信息被泄露、防止数据外泄,IT人必须做的工作之一。