首页 > 其他分享 >一文读懂 DevSecOps:工作原理、优势和实现

一文读懂 DevSecOps:工作原理、优势和实现

时间:2022-10-26 13:57:54浏览次数:56  
标签:DevSecOps 安全 DevOps 应用程序 读懂 软件 安全性 一文

由于 DevOps 方法的广泛采用以及由此产生的快速产品交付和部署,许多部门已采用更敏捷的方法来开发生命周期。在满足市场速度和规模要求的同时,设计安全的软件一直是现代 IT 公司共同面临的问题。结果,超过 52% 的组织因为担心上市速度落后而放弃了安全性。 由于传统技术下的安全漏洞,生产版本也出现了延迟。因此,一些企业已经采用 DevSecOps 方法来解决这个安全方面的问题。然而,当公司从 DevOps 转向 DevSecOps 时,他们经常面临一系列标准障碍。

或许对于 DevSecOps 这个词大家并不陌生,那么对于 DevSecOps 的了解又有多少呢?阅读本文,带你全面理解 DevSecOps 是什么。

什么是 DevSecOps?

DevSecOps 是描述开发、安全和运营集成的术语。它是一种文化、自动化和平台设计策略,强调安全是整个 IT 生命周期中的共同责任。DevSecOps 从一开始就考虑到安全性来创建应用程序和基础设施的做法,同时涉及自动化安全检查,以免减慢当前的 DevOps 流程。为了满足安全目标,安全团队为持续集成安全选择和配备合适、正确的工具来满足必要的保护。

DevSecOps 的工作原理

DevSecOps 是开发组织解决安全问题的必然和自然发展。在过去,企业确保软件安全的方式往往是在开发周期结束时由安全团队为软件添加保护,然后再通过 QA 团队进行测试。这在不那么频繁地提供软件升级的时候确实是可行的。

然而随着软件工程师转向敏捷和 DevOps 以将软件开发周期缩短数周甚至数天,传统的“附加”安全方法已经无法继续有效保障软件安全性。而 DevSecOps 能够将应用程序和基础架构安全性无缝地结合到敏捷和 DevOps 流程和工具中。一旦发现安全漏洞,就会立即进行处理和修复,这样就能够以更容易、更快、更便宜的方式在软件投入生产之前缓解或消除安全风险。

此外,不同于 DevOps,DevSecOps 让应用程序和基础设施的安全性成为开发、安全和 IT 运维团队的共同责任,通过在不减慢软件开发过程的情况下自动化安全软件交付。

DecSecOps 的优势

DevOps 将业务关键应用程序在性能、速度、功能和规模方面提升到了一个全新的水平。但是由于缺乏合规性和可靠的安全性,这些应用程序有时会滞后。而将 DevSecOps 集成到软件开发生命周期中就等于把开发、安全和运营置于一个统一的框架之下。借助 DevSecOps,每个开发人员和运维人员都将在开发和部署关键业务应用程序的每个阶段优先考虑安全性。

DevSecOps 的优势在于:

  • 降低合规成本
  • 更快地部署应用程序
  • 提高软件交付率
  • 从软件开发的最开始就进行安全检查、持续监控和自动部署检查
  • 从应用程序开发的早期阶段提高可视性和透明度
  • 在遭受安全攻击的情况下能够更快地恢复
  • 通过启用进一步安全自动化来提高整体安全性

DevSecOps 的实施

实施 DevSecOps 能够让企业保持高速、敏捷地开发和创新,同时满足合规要求且永远领先攻击者一步。从 DevOps 切换到 DevSecOps 看起来复杂且不易执行,企业可以参考以下六点:

  • 代码分析 - 以小规模、高频率的版本交付代码,以便更轻松高效地检查漏洞,同时将代码分析嵌入 QA 流程中。
  • 变更管理 - 允许并鼓励开发人员随时提出重要任务安全更改建议并尽可能在24小时内批准更改,让变更管理流程变得更加高效。
  • 合规监控 - 在开始编写代码或进行更改时收集合规性证据,以便让开发持续处于合规状态。
  • 威胁研究 - 针对使用新交付代码对企业所做出的更改而产生的威胁或漏洞进行查找、调查、研究并且进行修正。
  • 漏洞管理及评估 - 在发布代码并完成漏洞检查后,定期进行扫描并进行代码审查和渗透测试。
  • 安全培训 - 鼓励技术人员参加行业会议或安全认证会议,并定期为他们提供安全开发的相关培训。

图片来源:Sumologic

结 论

将业务环境切换到 DevSecOps 环境的过程是一项重大任务,充满了各种各样已知和未知的挑战。企业需要始终明白的一点是, DevSecOps 既不是万能的解决方案,也不是黄金流水线。想要将 DevSecOps 变为实践的企业必须首先制定战略,通过坚持上述建议的指导建议,相信可以在安全开发方面取得可观的结果。

标签:DevSecOps,安全,DevOps,应用程序,读懂,软件,安全性,一文
From: https://www.cnblogs.com/sealio/p/16828085.html

相关文章

  • 一文读懂云渲染“串流”全链路时延及优化策略
    ​这是一个让云游戏完美起步的时代。云游戏作为产业内近年来炙手可热的话题,具有“云端运行、超高清、零延时、即点即玩”等众多特性。随着5G时代的到来,以及中心云能......
  • 一文读懂云渲染“串流”全链路时延及优化策略
    ​这是一个让云游戏完美起步的时代。云游戏作为产业内近年来炙手可热的话题,具有“云端运行、超高清、零延时、即点即玩”等众多特性。随着5G时代的到来,以及中心云......
  • Go:一文玩转接口
    接口的基本剖析packagemainimport"fmt"typeTestinterface{ show()}typemyStringstringfunc(mysmyString)show(){ fmt.Println(mys)}funcmain......
  • 一文帮你解决APP抓包难题
    1.前言在日常渗透过程中我们经常会遇到瓶颈无处下手,这个时候如果攻击者从公众号或者APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡......
  • 新功能发布 | TSMaster重大更新,一文了解信号映射操作流程
    前言今天介绍TSMaster新功能—信号映射。这个功能在旧版本里,只能实现从CAN信号到系统变量的映射,软件更新以后可以支持系统变量反向映射到信号,甚至可以实现通过表达方式进行......
  • 【JS】501- 一文学会判断变量是否为数组
    日常开发中,我们经常遇到这种情况,需要我们判断变量是否是一个数组类型。那么今天我把常用的判断变量是否是数组类型的方法,整理在这里:一、常用方法1.Object.prototype.toStri......
  • 一文梳理vue面试题知识点
    Vue3.0和2.0的响应式原理区别Vue3.x改用Proxy替代Object.defineProperty。因为Proxy可以直接监听对象和数组的变化,并且有多达13种拦截方法。相关代码如下imp......
  • 一文详解高并发大流量指标
     在很多阿里双11高并发场景经常提到QPS、TPS、RT、吞吐量等指标,这些高并发高性能指标都是什么含义?如何来计算?下面我一一详解系统吞度量 系统吞吐量指的是系统在......
  • 一文打通Lambda 表达式和函数式接口
    Lambda表达式为什么使用Lambda表达式Lambda是一个匿名函数,我们可以把Lambda表达式理解为是一段可以传递的代码(将代码像数据一样进行传递)。使用它可以写出更简洁、更......
  • 一文彻底搞懂前端缓存机制
    浏览器缓存步骤1)浏览器在加载资源时,先根据这个资源的一些httpheader判断它是否命中强缓存,强缓存如果命中,浏览器直接从自己的缓存中读取资源,不会发请求到服务器。比如某个......