DevSecOps 的概念与案例

DevSecOps 概念和重要性

• DevSecOps（Development Security Operations） 是在 DevOps 实践基础上，在持续构建的各阶段引入针对产品的 安全保障活动，强调开发、运维/运营、安全团队的融合运作，是 DevOps 的增强和完善
  

DevOps 给安全带来的挑战和思考

• DevOps 提高了速度并扩张了规模，让安全团队面临着新的挑战
• 安全从业人员必须将 DevOps 原则引入他们的工具和工具流，以便跟上现代应用交付的步伐
• 安全解决方案应该使用 DevOps 所热衷的模块化、自动化和可扩展的技术进行构建和部署
• DevOps 的概念，比如标准化配置、不变的基础设施以及镜像系统等都有助于减轻安全问题的复杂性
• DevOps 风格的透明性和问责制是确保在安全团队内进行有效合作的关键
  

DevSecOps 的价值和实践

• 权衡 DevOps 速度与现有安全要求的需求催生了一个名为 DevSecOps 的模型
• DevSecOps 基于 “安全问题，人人有责” 的原则，它强调应用程序开发人员可以怎样把安全检查与他们的集成和部署流水线构建到一起
  
• 安全贯穿始终
  • 安全控制尽可能的自动化和模块化
  • 对所有的应用实施一个轻量化的威胁建模
  • 通过 IAM 和基于角色的权限控制来实现职责分离
  • 在开发过程中扫描开源软件
  • 在开发过程中扫描漏洞及配置文件
  • 扫描自定义的代码、应用及 API
  • 将脚本、模块作为敏感代码进行对待
  • 衡量系统完整性并确保加载正确

DevSecOps 实践案例

典型 DevOps 流程

• 在测试的过程中，如果出现了一个高风险的漏洞（例如 SQL 注入），在这种情况下，则要求团队运行整个 DevOps 的管道来修复单一的这个漏洞，显然不可行

华为实践 —— 贯穿研发过程的安全保障体系

• 华为在践行DevOps时，有一套贯穿研发过程的安全保障体系，从计划阶段、编码与构建阶段、验证阶段、发布与运营阶段嵌入了多个安全工程能力，包括安全需求、安全设计、安全实现、安全测试及安全事件响应，通过一系列的安全管制，也逐步完善了自己的安全标准，安全技术和能力库，并且衍生了更多的安全工具来实现更高的安全指令
  

最后，欢迎大家关注我的个人微信公众号 『小小猿若尘』，获取更多IT技术、干货知识、热点资讯。同时，我在公众号中分享了精心整理的一些视频资料（包括 Python全栈教程、AI教程、前端、数据库等），大家回复相应关键词即可获取网盘视频链接，感谢大家的关注😊