從前，安全防護(hù)只是特定團(tuán)隊(duì)的責(zé)任，在開(kāi)發(fā)的最后階段才會(huì)介入。當(dāng)開(kāi)發(fā)周期長(zhǎng)達(dá)數(shù)月、甚至數(shù)年時(shí)，這樣做沒(méi)什么問(wèn)題；但是現(xiàn)在，這種做法現(xiàn)在已經(jīng)行不通了。采用 DevOps 可以有效推進(jìn)快速頻繁的開(kāi)發(fā)周期（有時(shí)全程只有數(shù)周或數(shù)天），但是過(guò)時(shí)的安全措施則可能會(huì)拖累整個(gè)流程，即使最高效的 DevOps 計(jì)劃也可能會(huì)放慢速度。

一、DevSecOps是什么

在 DevOps 協(xié)作框架下，安全防護(hù)是整個(gè) IT 團(tuán)隊(duì)的共同責(zé)任，需要貫穿至整個(gè)生命周期的每一個(gè)環(huán)節(jié)。這個(gè)理念非常重要，因此催生出了“DevSecOps”一詞，即在開(kāi)發(fā)和運(yùn)維緊密結(jié)合的基礎(chǔ)上再?gòu)?qiáng)調(diào)了Security，強(qiáng)調(diào)必須為 DevOps 計(jì)劃打下扎實(shí)的安全基礎(chǔ)。

DevSecOps

DevSecOps 意味著從一開(kāi)始就要考慮應(yīng)用和基礎(chǔ)架構(gòu)的安全性；同時(shí)還要讓某些安全網(wǎng)關(guān)實(shí)現(xiàn)自動(dòng)化，以防止 DevOps 工作流程變慢。選擇合適的工具來(lái)持續(xù)集成安全防護(hù)（比如在集成開(kāi)發(fā)環(huán)境（IDE）中集成安全防護(hù)功能）有助于實(shí)現(xiàn)這些目標(biāo)。但是高效的 DevOps 安防需要的不僅是新工具。它更需要整個(gè)公司實(shí)現(xiàn) DevOps 文化變革，從而盡早集成安全團(tuán)隊(duì)的工作。

二、DevSecOps目標(biāo)及原因

DevSecOps的目的和意圖是建立在“每個(gè)人都對(duì)安全負(fù)責(zé)”的思想基礎(chǔ)上，目標(biāo)是在不犧牲所需安全性的前提下，將安全決策快速、大規(guī)模地分發(fā)給擁有最高級(jí)別上下流的人員。

DevSecOps

如今，也是同樣的原因致使傳統(tǒng)的安全領(lǐng)導(dǎo)者竭力爭(zhēng)取自己在行政會(huì)議上的一席之地。雖然這一席之地能夠保證安全決策有效性的提高，但由于價(jià)值創(chuàng)造過(guò)程中缺乏所需安全技能的供應(yīng)，導(dǎo)致成果在產(chǎn)出過(guò)程中摩擦增多、速度減緩。如果沒(méi)有足夠的人手，企業(yè)經(jīng)營(yíng)者就無(wú)法達(dá)到業(yè)務(wù)運(yùn)營(yíng)商所期望的速度，也就意味著他們必須改變安全價(jià)值的貢獻(xiàn)方式，否則風(fēng)險(xiǎn)就會(huì)增加。

隨著DevOps、敏捷和公共云服務(wù)的業(yè)務(wù)需要，傳統(tǒng)的安全流程已成為需要削減的主要目標(biāo)。但可悲的是，這又是最容易忽略的一點(diǎn)。傳統(tǒng)安全性的出發(fā)點(diǎn)是，一旦設(shè)計(jì)了系統(tǒng)，便可以由安全人員確定系統(tǒng)的安全缺陷，并由業(yè)務(wù)運(yùn)營(yíng)商在發(fā)布系統(tǒng)之前對(duì)其進(jìn)行糾正。這一原則允許流程將有限的安全技能應(yīng)用于結(jié)果，并且不必在大型系統(tǒng)中額外增加安全環(huán)境。但是，這樣設(shè)計(jì)的流程只有在業(yè)務(wù)活動(dòng)的速度是瀑布式的并且得到各方同意的情況下才有效。更糟的是，在迭代中引入認(rèn)為安全必須以這種方式運(yùn)行的想法是有缺陷的，也會(huì)在系統(tǒng)內(nèi)增加固有風(fēng)險(xiǎn)。因?yàn)闃I(yè)務(wù)決策需要內(nèi)聯(lián)平衡并以較快的速度解決。因此，這一方式尚未得到實(shí)現(xiàn)。?

三、DevSecOps優(yōu)勢(shì)及實(shí)施

在價(jià)值創(chuàng)造生命周期的最后階段，安全團(tuán)隊(duì)幾乎不可能擁有呈現(xiàn)安全決策所需的所有信息。而且，隨著價(jià)值創(chuàng)造過(guò)程加快提供迭代價(jià)值，以便緊密地聯(lián)系客戶的需求，更可能的是，一次性完成整個(gè)系統(tǒng)的測(cè)試實(shí)際上對(duì)結(jié)果具有破壞性。實(shí)際上，以這種方式做出的大多數(shù)安全決策很少有效，經(jīng)常被業(yè)務(wù)領(lǐng)導(dǎo)人否決，并且通常會(huì)在事件或破壞發(fā)生時(shí)受到質(zhì)疑。

DevSecOps

因此，隨著DevOps的不斷變化，傳統(tǒng)的安全性不再是一種選擇。在通過(guò)迭代構(gòu)建的系統(tǒng)的設(shè)計(jì)和發(fā)布中，協(xié)作已經(jīng)太晚了。但是，隨著DevSecOps的引入，業(yè)務(wù)運(yùn)營(yíng)商或安全人員都沒(méi)有必要放棄降低風(fēng)險(xiǎn)的措施；相反，組織內(nèi)的每個(gè)人都應(yīng)該擁抱并改進(jìn)它，使其得到那些有能力為系統(tǒng)貢獻(xiàn)安全價(jià)值的人的支持。有個(gè)很棒的說(shuō)法是，如果沒(méi)有刻意的內(nèi)置安全控制，系統(tǒng)故障是肯定的，因?yàn)閮H僅是避免安全就會(huì)給系統(tǒng)帶來(lái)更多風(fēng)險(xiǎn)。因此，認(rèn)為價(jià)值創(chuàng)造與安全性不能合作的觀點(diǎn)是非?；闹嚨摹?/p>

DevSecOps建立的思維模式包括為業(yè)務(wù)運(yùn)營(yíng)商提供了工具和決策，幫助他們進(jìn)行安全決策，以及為安全人員提供使用、調(diào)整這些工具的支持，這非常適合協(xié)作型團(tuán)隊(duì)。在這種情況下，安全工程師與DevSecOps宣言保持一致，該宣言表明了安全從業(yè)者必須提供的價(jià)值，以及他們必須做出的更改，以使安全價(jià)值能夠提供給更大的生態(tài)系統(tǒng)。通過(guò)這種方式，DevSecOps工程師為系統(tǒng)提供的價(jià)值是在非合作的攻擊者發(fā)現(xiàn)缺陷之前持續(xù)監(jiān)視、攻擊并確定缺陷。這需要業(yè)務(wù)生態(tài)系統(tǒng)中的所有人，包括安全人員，為迭代的價(jià)值創(chuàng)造做出貢獻(xiàn)，并不需要為了團(tuán)隊(duì)中安全從業(yè)者的缺失而過(guò)度焦慮。

DevSecOps作為一種思維方式和安全性轉(zhuǎn)換，有助于流程與其他安全更改合作。換句話說(shuō)，如果您認(rèn)為需要將安全性添加到“開(kāi)發(fā)”或“運(yùn)營(yíng)”或某些其他業(yè)務(wù)流程中，那就沒(méi)關(guān)系了！需要將安全性添加到所有業(yè)務(wù)流程中，并且需要?jiǎng)?chuàng)建一個(gè)專門(mén)的團(tuán)隊(duì)來(lái)建立對(duì)業(yè)務(wù)的理解、發(fā)現(xiàn)缺陷的工具、持續(xù)的測(cè)試，以及預(yù)測(cè)作為業(yè)務(wù)操作人員如何做出決策的科學(xué)。此外，為了實(shí)現(xiàn)全面的轉(zhuǎn)型，DevSecOps需要執(zhí)行管理層和董事會(huì)參與提供相關(guān)信息，這些信息是業(yè)務(wù)如何在當(dāng)今經(jīng)濟(jì)所代表的競(jìng)爭(zhēng)日益激烈的低信任度環(huán)境中運(yùn)營(yíng)和保護(hù)團(tuán)隊(duì)的關(guān)鍵指標(biāo)。