什麼是 DevSecOps？

「DevSecOps」 的作用和意義建立在「每個人都對安全負責」的理念之上，其目標是在不影響安全需求的情況下快速的執行安全決策，將決策傳遞至擁有最高階別環境資訊的人員。

如今，網路空間中的諸多不安全因素使傳統的安全領導可以力爭在高管中佔有一席之地。雖然擁有一席之地增加了安全決策的有效執行，但由於缺乏將安全技能融入到價值創造的過程當中，致使業務成果的顯著減緩。沒有足夠的人手，企業經營者期望的速度無法實現，這種安全、資源和盈利的衝突使“安全”如何創造價值的解決方案顯得越發必要。

考慮到業務對於 DevOps，敏捷和公共雲服務的需求，傳統安全流程中的很多環節已經成為障礙，必須消除，遺憾的是很多企業並沒有到意識點。傳統安全的運營是基於，一旦系統設計完成，其安全缺陷可以在系統釋出前，由安全人員確定，並由企業經營者修正。這隻需要有限的安全技能，就能達到結果，並且避免了在較龐大系統中增加安全上下文的需求。但是使用這種方式設計的流程只適用於瀑布模式的業務活動，並且經各方同意。不幸的是，隨著迭代的引入，這樣運營安全的方式是有缺陷的，並且在系統內帶來了內在風險，因為業務決策需要平衡內聯，並且跟上業務的速度。因此，無法實現協作。

通常，安全團隊無法收集到需要的所有資訊，去做出有意義的安全決策。為了提供能夠密切對映客戶需求的迭代值，價值創造流程不斷加快。致使週期結束時的一次決策或者完整系統的測試都可能會帶來毀滅性的結果。事實上，大多數這樣的安全決策很少被採納，經常被業務主管駁回，可一旦安全事件或洩露發生時，安全團隊又首先遭到質疑。

隨著 DevOps 的變化，傳統安全不再是一種選擇。在開發週期中，它的位置太靠後，而與迭代設計和系統釋出相協作時，它又不夠迅速。隨著 DevSecOps 的引入，企業經營者或安全人員沒有必要為了減少風險而遺棄它；相反的，企業內的每個人都應該利用它，並加以改進，那些擁有可以為系統貢獻安全價值的技術人員更應該支援它。沒有內建安全控制，肯定會發生系統故障，因為單純的迴避安全，只會給系統帶來更多的風險。因此，認為價值創造和安全不能協作的想法是荒謬的。

DevSecOps 的理念使它成為協作系統，企業經營者可獲得有助於安全決策的工具和流程，同時安全人員也可以使用和除錯這些工具。在這種情況下，安全工程師與 DevSecOps 理念一致，作為安全從業者能夠提供價值，並且為了能夠給更龐大的生態系統提供安全價值，他們必須做出相應的改變。這樣，DevSecOps 工程師為系統提供的價值，是一種持續監測的能力，在非合作攻擊者發現缺陷前，打擊和確認漏洞。因為這些改變，DevSecOps 工程師是外部攻擊者的有力競爭對手。這允許所有人，包括安全人員，在業務生態系統內為迭代價值創造做出貢獻，而不需要將嚴重缺乏的安全從業人員額外新增到DevOps團隊。

而且，DevSecOps作為一種理念和安全轉型，進一步與其他安全變革相協作。換句話說，無論你是不是相信安全需要被新增到開發，運營，或其他業務流程中，事實就是如此！安全需要被新增到所有業務流程中，並且需要建立一個專門的團隊，理解業務，使用工具來發現缺陷，持續測試，而企業經營者則需要運用科學預測做出決策。更進一步，要完成完整的變革程式，DevSecOps需要高階管理層和董事會的參與，將資訊作為業務運營的關鍵指標，在當今經濟下，在競爭日益激烈的低信任環境中，證明自己的價值。

本文系 OneASP 工程師翻譯。如今，多樣化的攻擊手段層出不窮，傳統安全解決方案越來越難以應對網路安全攻擊。OneRASP 實時應用自我保護技術,可以為軟體產品提供精準的實時保護，使其免受漏洞所累。

本文轉自 OneAPM 官方部落格