DevSecOps 简介(一)

OneAPM蓝海讯通

DevOps,或者说企业应用开发团队和系统运营团队的合作,已经成为一个时髦的 IT 话题。这一新的运营模式往往与敏捷式软件开发方法并举,同时还会利用云计算的可扩展性——这一切,都是为了使企业更加灵活,更具竞争力。但是,有专家指出,如今实践该方法的典型模式,其实远远不够深入。

来自 Gartner 研究公司的分析师 David Cearley 认为,当今的 CIO 应该修改 DevOps 的定义,使之包括安全理念。他称之为 DevSecOps,“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。

Cearley 还指出,企业投资防火墙、IPS 等外围防御系统本身无可厚非。但是,在塔吉特、家得宝及索尼等公司爆出的安全漏洞使其损失惨重,显然,单纯地守卫边界是不够的。在 DevOps 方案中添加安全理念之后,CIO 与其团队将不得不更加细致地考虑安全——在软件开发过程的一开始,而不是事后,就考虑安全问题。

然而,在传统的 IT 组织中,往 DevOps 实践添加安全理念更多地是人与流程的问题,而非技术问题。在许多公司组织当中,团队们在相互独立的环境中工作,甚至不存在共同的隔墙,Cearley 指出。不过,将所有人召集到同一个房间里比在所有人之间达成共识要容易得多。幸运的是,大多数企业都一个人专注于打破文化障碍,同时要求安全融入 DevOps 最佳实践,这个人就是 CIO(首席信息官)。

”CIO 是唯一能够推动安全融入 DevOps 实践的人,因为安全团队、运营团队、应用团队以及架构团队全都向他汇报“ Cearley 指出。”CIO 是领导者;CIO 必须告诉他的团队:“如果你们不能协同工作,那就没必要留下来了”。

DevSecOps 宣言

  1. CIO 驱动

  2. 不同团队间的相互协作

  3. 专注于风险,而非安全

Cearley 指出,"对抗团队在工作中”先入为主的观念与偏见”将是 CIO 面临的最大挑战。“ CIO 应该引导团队重新考虑问题。对此,有什么好的建议吗?Cearley 补充道:“CIO 不应该简单地接受关于应用开发、运营以及安全的单独报告,而应该强调合作的重要性,要求“以统一的方法开发、运营以及管理我们提供给用户的服务,同时保证这一过程的安全性。”

Cearley 还建议 CIO 们不应聚焦于安全,而应该重视风险,这可以帮助 IT 团队更好地实现业务视角与开发流程的整合。”如果你从安全出发,重点就变成了需要哪些工具来实现终极的安全。抱歉的是,这是错误的焦点,“ Cearley 指出。“ 你必须从风险入手。”通过时刻关注风险,CIO 将帮助企业理解 IT 如何帮助企业进入新市场或尝试新型的分析技术,以及 IT 如何最小化这样做的潜在危险。

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客

阅读 1.5k

OneAPM 官方技术专栏
OneAPM 官方技术分享平台

Software makes the world run. OneAPM makes the software run.

11.4k 声望
508 粉丝
0 条评论
你知道吗?

Software makes the world run. OneAPM makes the software run.

11.4k 声望
508 粉丝
宣传栏