DevSecOps: What, Why, Who, and How
什么是DevSecOps
首先,我们都应该认识到,“DevSecOps是一种实践。”然而,在任何实践中,您还需要一些能力来实现这一点。
以下是一些有助于定义DevSecOps“是什么”的观点:
Gartner将DevSecOps定义为“DevSecOps是将安全性集成到新兴的敏捷IT和DevOps开发中,尽可能无缝和透明。理想情况下,这不会降低开发人员的敏捷性或速度,也不会要求他们离开开发工具链环境。”
TechTarget将DevSecOps定义为“DevSecOps(开发加安全加操作)是一种管理方法,它将应用程序开发、安全、操作和基础设施作为代码(IaaS)结合在一个自动化、连续的交付周期中。”
TechBeacon指南“DevSecOps和Security as Code”以以下语句开头,“未来是安全即代码。通过我们的指南,了解DevSecOps是如何让您实现这一目标的。另外:通过SAN的报告“重新思考DevSecOps:安全即代码”来了解DevSecOps对安全专业人员意味着什么优先事项、培训以及技术和工具投资。”
IDC将DevSecOps定义为, “IDC的DevSecOps和应用程序安全研究产品、技术和自动化安全过程,这些产品、技术和自动化安全过程用于将安全性转移到SDLC的左侧,并将安全性作为DevOps管道的一部分注入应用程序。这包括静态、动态和交互式分析、软件组合分析、secrets管理、运行时应用程序自我保护、API安全、容器和Kubernetes安全以及web应用程序防火墙。它还包括开发工具供应商的角色,这些供应商提供代码安全服务,如商业支持和合规性验证的开源解决方案。”
埃森哲有一个关于它们向DevSecOps转换的案例研究,“为了满足埃森哲不断增长的业务需求,公司正在转向一种新的信息技术交付方式。这一内部变革的重点是优化开发和运营之间的协作,同时将安全性嵌入到整个流程中。开发、安全和运营(DevSecOps)将应用程序开发、安全性、基础架构作为代码和操作聚合到一个连续的、端到端、高度自动化的交付周期中。在产品开发生命周期中嵌入安全性有助于保护业务,同时保持速度并有助于消除摩擦。”
当然,在所有事情“作为一种实践”的情况下,有一些合作和共享的见解和想法通常会带来很大的好处,从而达成共识并取得共同的愿景。
为什么选择DevSecOps
从上述观点出发,我们观察到了一些关键的结果,这些结果就在这里。
- 能见度
- 恢复力
- 稳定性
- 自动化
- 效率
DevSecOps实践无疑是在整个组织中建立弹性的一种方法,可以改进您的几个KPI,正如上面的研究所示,DevSecOps可以帮助您获得稳固的利润优势。
一个很好的出发点是让你的团队在未来的几个月和几年里都能达成预期的结果和关键目标。这将使您的团队能够了解您所在的位置和前进的方向,这样您就可以在整个组织中尽可能快地实现最高价值。
谁从DevSecOps获得价值
DevSecOps作为一种实践+正确的工具,提供了对跨域数据的特殊访问和控制。这反过来又有助于组织中的多个团队加快对业务的洞察和结果
DevSecOps增强了您关联和识别结果的能力,这些结果可能是未知或未观察到的。使用DevSecOps,可以通过过程自动化跨团队实现速度和规模
下面是您组织中不同角色的几个DevSecOps用例示例。每一个都提供了真正的价值和结果,因此请利用下面的图形作为参考点,开始讨论DevSecOps如何为您的组织带来好处。
如何使用DevSecOps实现成果
重申一下,DevSecOps是一种实践,它需要适当的过程和工具来交付组织所建立的用例和目标的结果。为了帮助可视化DevSecOps的“如何开始”,我们在下面提供了3个具体的用例图
下图显示了DevSecOps中的一些方式,突出显示:
- CI/CD过程:利用自动化实现综合结果
- 安全性:开始时和整个过程中都包括左移
- 速度:加速到DevOps速度
- 点赞
- 收藏
- 关注作者
评论(0)