實施DevOps安全策略清單

DevOps安全意味著將安全策略直接整合到DevOps管道中，建立一種預先保護軟體的部署文化。但這也需要在操作策略和安全思維上進行改變，將安全視為DevOps生命週期的部分。

以下是DevOps安全策略清單，供開發團隊更快地交付安全可靠的應用程式:

1. 分析您的開發過程是否存在安全隱患。

實施 DevOps 安全策略的第一步是查詢並修復現有開發流程中的漏洞。

例如，持續交付和開發是DevOps的關鍵。但是，如果每個更改都沒有經過程式碼審查，則有可能導致應用程式存在安全隱患。

2. 在開發和安全團隊之間建立共同目標。

開發人員和安全團隊的傳統角色可能看起來像是處於十字路口，開發人員編寫程式碼，安全團隊發現他們程式碼中的問題。然而，在DevOps的協作環境中，安全和開發需要攜手合作，為使用者交付安全的應用。

3. 在開發階段整合安全工具。

自動化是保證DevOps安全的重要手段。將安全掃描工具靜態程式碼檢測、開源元件分析等工具整合到開發工作流中對整個過程至關重要。

自動化安全檢測工具可以掃描程式碼、網路和基礎設施，以識別安全漏洞並提供修復建議。透過使用工具，開發團隊可以在將問題傳遞給安全團隊進行最終檢查之前自己修復一些安全問題。

4. 向管道新增可觀測性。

DevOps 操作的分散式特性的最大挑戰之一是可見性。如何有效地監控分佈在多個不同位置的大量操作節點?

可觀察性透過使用日誌、指標和跟蹤(即透過應用程式的輸出來確定內部應用程式執行狀況)來實現。透過可觀測性工具可以更深入地瞭解系統的執行情況，並確定任全問題的確切細節。

5. 以較小的增量單位進行更改。

在小單元中測試程式碼並將其部署為較小但增量的更改，比處理大型且笨拙的單塊程式碼要容易得多。漸進式部署更改意味著可以更快地解決漏洞。

6. 掃描並保護整個 DevOps 管道。

DevOps流程中的很大一部分安全隱患來自不安全的容器和操作節點。根據ThreatStack的一項研究，94%的組織表示容器存在著安全風險。但是，風險不僅限於容器。其他服務(如 API)、第三方工具(如 Docker)和匯入的程式碼會給流程帶來潛在的安全風險。因此有必要定期掃描所有操作節點以查詢漏洞。

透過實施以上幾點，有助於組織保持更堅實的安全基礎。但DevOps安全性不是一次性的過程。組織需要不斷地將安全協議整合到DevOps生命週期的每個部分中，並對員工進行安全培訓。

來源：

https://devops.com/devops-security-your-complete-checklist/