何为DevSecOps 为什么很难做好
发布时间:2022-07-27 11:04:57 所属栏目:安全 来源:互联网
导读:DevSecOps是指先在应用程序开发的生命周期中引入安全性,从而尽可能地减少漏洞并使安全性更接近IT和业务目标。 DevSecOps定义 DevSecOps是软件行业的一种文化转变,旨在将安全性纳入现代应用程序开发和部署所特有的快速发布周期中,也称为DevOps运动。接受这
|
DevSecOps是指先在应用程序开发的生命周期中引入安全性,从而尽可能地减少漏洞并使安全性更接近IT和业务目标。 DevSecOps定义 DevSecOps是软件行业的一种文化转变,旨在将安全性纳入现代应用程序开发和部署所特有的快速发布周期中,也称为DevOps运动。接受这种左倾心态需要组织弥合开发团队和安全团队之间通常存在的鸿沟,以至于许多安全流程都由开发团队自己进行自动化和处理。 DevSecOps与传统软件开发有何不同? 传统上,主要的软件开发人员过去每隔几个月甚至几年发布一次新版本的应用程序。这为代码提供了足够的时间来保证质量和进行安全测试,这些过程由独立的内部或外部合同的专门团队执行。 但是,在过去的十年中,公共云、容器和微服务模型的兴起,将整体式应用程序分解为独立运行的较小部分。这种故障还直接影响了软件的开发方式,导致了滚动发布和敏捷开发实践,在这些实践中,新功能和代码不断以快速的步伐投入生产。其中许多流程已通过使用新技术和新工具而实现了自动化,从而使公司能够更快地进行创新并保持竞争优势。 实现真正的安全/开发集成 根据Wysopal的说法,实现最后一步之所以很困难,是因为开发人员必须建立无需外部指导即可修复与安全相关的bug所需的技能,而这需要时间。许多团队通过在开发团队中嵌入所谓的安全冠军来达到目标。这是一个在应用程序安全方面具有专业知识的人,并且比整个团队中的大多数人接受了更高级的培训,即使对整个团队进行安全编程实践的培训也应该是过程的一部分。此人可以查看安全修补程序,以确保它们是正确的。 这并不意味着安全拥护者不能在团队之外寻求专家意见。例如:向该公司的应用程序安全测试提供商提供服务,后者可能会为客户提供咨询服务。在特殊情况下,这不是正常的情况。这与拥有独立的开发和安全团队,以及将一个或多个安全团队成员嵌入开发团队不同。 根据DevOps自动化和开源治理公司Sonatype的CTO Brian Fox的说法,开发和安全性之间的集成也需要在管理层进行。Fox告诉CSO:“当安全任务与完全集成到开发中而不完全融合时,我认为您没有得到正确的选择。有时候,即使人们在同一个团队中工作,您也会遇到目标不同的管理层冲突。这是许多组织中发生的事情的一个要素。” Fox表示,这是在质量检查之前发生的,那里曾经有一个质量检查经理和工程经理,他们在一起工作,但是总有一些部落主义在进行。“一旦这种情况消失了,质量保证已成为开发团队人员所做工作的一部分,您就不再看到我们与他们的心态,而我们在安全性方面还没有到位。我认为这就是很多公司挣扎。” (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号