DevSecOps 簡介（一）

DevOps，或者說企業應用開發團隊和系統運營團隊的合作，已經成為一個時髦的 IT 話題。這一新的運營模式往往與敏捷式軟體開發方法並舉，同時還會利用雲端計算的可擴充套件性——這一切，都是為了使企業更加靈活，更具競爭力。但是，有專家指出，如今實踐該方法的典型模式，其實遠遠不夠深入。

來自 Gartner 研究公司的分析師 David Cearley 認為，當今的 CIO 應該修改 DevOps 的定義，使之包括安全理念。他稱之為 DevSecOps，“它是糅合了開發、安全及運營理念以建立解決方案的全新方法”。

Cearley 還指出，企業投資防火牆、IPS 等外圍防禦系統本身無可厚非。但是，在塔吉特、家得寶及索尼等公司爆出的安全漏洞使其損失慘重，顯然，單純地守衛邊界是不夠的。在 DevOps 方案中新增安全理念之後，CIO 與其團隊將不得不更加細緻地考慮安全——在軟體開發過程的一開始，而不是事後，就考慮安全問題。

然而，在傳統的 IT 組織中，往 DevOps 實踐新增安全理念更多地是人與流程的問題，而非技術問題。在許多公司組織當中，團隊們在相互獨立的環境中工作，甚至不存在共同的隔牆，Cearley 指出。不過，將所有人召集到同一個房間裡比在所有人之間達成共識要容易得多。幸運的是，大多數企業都一個人專注於打破文化障礙，同時要求安全融入 DevOps 最佳實踐，這個人就是 CIO(資訊長)。

”CIO 是唯一能夠推動安全融入 DevOps 實踐的人，因為安全團隊、運營團隊、應用團隊以及架構團隊全都向他彙報“ Cearley 指出。”CIO 是領導者；CIO 必須告訴他的團隊：“如果你們不能協同工作，那就沒必要留下來了”。

DevSecOps 宣言

1. CIO 驅動

2. 不同團隊間的相互協作

3. 專注於風險，而非安全

Cearley 指出，"對抗團隊在工作中”先入為主的觀念與偏見”將是 CIO 面臨的最大挑戰。“ CIO 應該引導團隊重新考慮問題。對此，有什麼好的建議嗎？Cearley 補充道：“CIO 不應該簡單地接受關於應用開發、運營以及安全的單獨報告，而應該強調合作的重要性，要求“以統一的方法開發、運營以及管理我們提供給使用者的服務，同時保證這一過程的安全性。”

Cearley 還建議 CIO 們不應聚焦於安全，而應該重視風險，這可以幫助 IT 團隊更好地實現業務視角與開發流程的整合。”如果你從安全出發，重點就變成了需要哪些工具來實現終極的安全。抱歉的是，這是錯誤的焦點，“ Cearley 指出。“ 你必須從風險入手。”通過時刻關注風險，CIO 將幫助企業理解 IT 如何幫助企業進入新市場或嘗試新型的分析技術，以及 IT 如何最小化這樣做的潛在危險。

如今，多樣化的攻擊手段層出不窮，傳統安全解決方案越來越難以應對網路安全攻擊。OneRASP 實時應用自我保護技術,可以為軟體產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術部落格。

本文轉自 OneAPM 官方部落格