什么是 DevSecOps筋栋？

「DevSecOps」 的作用和意義建立在「每個(gè)人都對(duì)安全負(fù)責(zé)」的理念之上，其目標(biāo)是在不影響安全需求的情況下快速的執(zhí)行安全決策苗分，將決策傳遞至擁有最高級(jí)別環(huán)境信息的人員。

如今牵辣，網(wǎng)絡(luò)空間中的諸多不安全因素使傳統(tǒng)的安全領(lǐng)導(dǎo)可以力爭(zhēng)在高管中占有一席之地摔癣。雖然擁有一席之地增加了安全決策的有效執(zhí)行，但由于缺乏將安全技能融入到價(jià)值創(chuàng)造的過程當(dāng)中，致使業(yè)務(wù)成果的顯著減緩择浊。沒有足夠的人手戴卜，企業(yè)經(jīng)營者期望的速度無法實(shí)現(xiàn)，這種安全琢岩、資源和盈利的沖突使“安全”如何創(chuàng)造價(jià)值的解決方案顯得越發(fā)必要投剥。

考慮到業(yè)務(wù)對(duì)于 DevOps，敏捷和公共云服務(wù)的需求担孔，傳統(tǒng)安全流程中的很多環(huán)節(jié)已經(jīng)成為障礙江锨，必須消除，遺憾的是很多企業(yè)并沒有到意識(shí)點(diǎn)糕篇。傳統(tǒng)安全的運(yùn)營是基于啄育，一旦系統(tǒng)設(shè)計(jì)完成，其安全缺陷可以在系統(tǒng)發(fā)布前拌消，由安全人員確定挑豌，并由企業(yè)經(jīng)營者修正。這只需要有限的安全技能墩崩，就能達(dá)到結(jié)果氓英，并且避免了在較龐大系統(tǒng)中增加安全上下文的需求。但是使用這種方式設(shè)計(jì)的流程只適用于瀑布模式的業(yè)務(wù)活動(dòng)鹦筹，并且經(jīng)各方同意铝阐。不幸的是，隨著迭代的引入盛龄，這樣運(yùn)營安全的方式是有缺陷的饰迹，并且在系統(tǒng)內(nèi)帶來了內(nèi)在風(fēng)險(xiǎn)，因?yàn)闃I(yè)務(wù)決策需要平衡內(nèi)聯(lián)余舶，并且跟上業(yè)務(wù)的速度啊鸭。因此，無法實(shí)現(xiàn)協(xié)作匿值。

通常赠制，安全團(tuán)隊(duì)無法收集到需要的所有信息，去做出有意義的安全決策挟憔。為了提供能夠密切映射客戶需求的迭代值钟些，價(jià)值創(chuàng)造流程不斷加快。致使周期結(jié)束時(shí)的一次決策或者完整系統(tǒng)的測(cè)試都可能會(huì)帶來毀滅性的結(jié)果绊谭。事實(shí)上政恍，大多數(shù)這樣的安全決策很少被采納，經(jīng)常被業(yè)務(wù)主管駁回达传，可一旦安全事件或泄露發(fā)生時(shí)篙耗，安全團(tuán)隊(duì)又首先遭到質(zhì)疑迫筑。

隨著 DevOps 的變化，傳統(tǒng)安全不再是一種選擇宗弯。在開發(fā)周期中脯燃，它的位置太靠后，而與迭代設(shè)計(jì)和系統(tǒng)發(fā)布相協(xié)作時(shí)蒙保，它又不夠迅速辕棚。隨著 DevSecOps 的引入，企業(yè)經(jīng)營者或安全人員沒有必要為了減少風(fēng)險(xiǎn)而遺棄它邓厕；相反的逝嚎，企業(yè)內(nèi)的每個(gè)人都應(yīng)該利用它，并加以改進(jìn)邑狸，那些擁有可以為系統(tǒng)貢獻(xiàn)安全價(jià)值的技術(shù)人員更應(yīng)該支持它懈糯。沒有內(nèi)置安全控制，肯定會(huì)發(fā)生系統(tǒng)故障单雾，因?yàn)閱渭兊幕乇馨踩粫?huì)給系統(tǒng)帶來更多的風(fēng)險(xiǎn)。因此硅堆，認(rèn)為價(jià)值創(chuàng)造和安全不能協(xié)作的想法是荒謬的屿储。

DevSecOps 的理念使它成為協(xié)作系統(tǒng)，企業(yè)經(jīng)營者可獲得有助于安全決策的工具和流程渐逃，同時(shí)安全人員也可以使用和調(diào)試這些工具够掠。在這種情況下，安全工程師與 DevSecOps 理念一致茄菊，作為安全從業(yè)者能夠提供價(jià)值疯潭，并且為了能夠給更龐大的生態(tài)系統(tǒng)提供安全價(jià)值，他們必須做出相應(yīng)的改變面殖。這樣竖哩，DevSecOps 工程師為系統(tǒng)提供的價(jià)值，是一種持續(xù)監(jiān)測(cè)的能力脊僚，在非合作攻擊者發(fā)現(xiàn)缺陷前相叁，打擊和確認(rèn)漏洞。因?yàn)檫@些改變辽幌，DevSecOps 工程師是外部攻擊者的有力競(jìng)爭(zhēng)對(duì)手增淹。這允許所有人，包括安全人員乌企，在業(yè)務(wù)生態(tài)系統(tǒng)內(nèi)為迭代價(jià)值創(chuàng)造做出貢獻(xiàn)虑润，而不需要將嚴(yán)重缺乏的安全從業(yè)人員額外添加到DevOps團(tuán)隊(duì)。

而且加酵，DevSecOps作為一種理念和安全轉(zhuǎn)型拳喻，進(jìn)一步與其他安全變革相協(xié)作梁剔。換句話說，無論你是不是相信安全需要被添加到開發(fā)舞蔽，運(yùn)營，或其他業(yè)務(wù)流程中码撰，事實(shí)就是如此渗柿！安全需要被添加到所有業(yè)務(wù)流程中，并且需要?jiǎng)?chuàng)建一個(gè)專門的團(tuán)隊(duì)脖岛，理解業(yè)務(wù)朵栖，使用工具來發(fā)現(xiàn)缺陷，持續(xù)測(cè)試柴梆，而企業(yè)經(jīng)營者則需要運(yùn)用科學(xué)預(yù)測(cè)做出決策陨溅。更進(jìn)一步，要完成完整的變革進(jìn)程绍在，DevSecOps需要高級(jí)管理層和董事會(huì)的參與门扇，將信息作為業(yè)務(wù)運(yùn)營的關(guān)鍵指標(biāo)，在當(dāng)今經(jīng)濟(jì)下偿渡，在競(jìng)爭(zhēng)日益激烈的低信任環(huán)境中臼寄，證明自己的價(jià)值。

本文系 OneASP 工程師翻譯溜宽。如今吉拳，多樣化的攻擊手段層出不窮，傳統(tǒng)安全解決方案越來越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊适揉。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)留攒，使其免受漏洞所累。

本文轉(zhuǎn)自 OneAPM 官方博客