认识达内从这里开始

安全性随着互联网的不断发展而被越来越多的企业关注，程序员在开发软件的时候也将安全性问题纳入考量之中，下面我们就通过案例分析来简单了解一下，DevOps安全性问题实践分析。

1、DevSecOps定义

DevSecOps是软件行业的一种文化转变，旨在将安全性纳入现代应用程序开发和部署所特有的快速发布周期中，也称为DevOps运动。接受这种左倾心态需要组织弥合开发团队和安全团队之间通常存在的鸿沟，以至于许多安全流程都由开发团队自己进行自动化和处理。

2、DevSecOps与传统软件开发有何不同?

传统上，主要的软件开发人员过去每隔几个月甚至几年发布一次新版本的应用程序。这为代码提供了足够的时间来保证质量和进行安全测试，这些过程由独立的内部或外部合同的专门团队执行。

但是，公共云、容器和微服务模型的兴起，将整体式应用程序分解为独立运行的较小部分。这种故障还直接影响了软件的开发方式，导致了滚动发布和敏捷开发实践，在这些实践中，新功能和代码不断以快速的步伐投入生产。其中许多流程已通过使用新技术和新工具而实现了自动化，从而使公司能够更快地进行创新并保持竞争优势。

云，容器和微服务的进步也导致了业界所谓的DevOps文化的出现，开发人员现在可以在不等待单独的基础架构团队为他们完成的情况下配置和扩展所需的基础架构。现在，所有主要的云提供商都提供了API和配置工具，这些API和配置工具允许使用部署模板将基础结构配置视为代码。

尽管DevOps文化为软件开发带来了很多创新，但是安全性往往无法跟上代码的生产和发布的新速度。DevSecOps旨在纠正这一问题，并将安全性测试完全集成到持续集成(CI)和持续交付(CD)管道中，同时也积累了开发团队所需的知识和技能，以便可以测试和修复结果也可以在内部完成。

构成真正的DevSecOps环境的三个关键因素是：

安全测试由开发团队完成。

测试期间发现的问题由开发团队管理。

解决这些问题的责任在于开发团队。

3、实现真正的安全/开发集成

这是一个在应用程序安全方面具有专业知识的人，并且比整个团队中的大多数人接受了更高级的培训，即使对整个团队进行安全编程实践的培训也应该是过程的一部分。此人可以查看安全修补程序，以确保它们是正确的。

这并不意味着安全拥护者不能在团队之外寻求意见。例如：向该公司的应用程序安全测试提供商提供服务，后者可能会为客户提供咨询服务。在特殊情况下，这不是正常的情况。这与拥有独立的开发和安全团队，以及将一个或多个安全团队成员嵌入开发团队不同。

当安全任务与完全集成到开发中而不完全融合时，我认为您没有得到正确的选择。有时候，即使人们在同一个团队中工作，您也会遇到目标不同的管理层冲突。这是许多组织中发生的事情的一个要素。

一旦这种情况消失了，质量保证已成为开发团队人员所做工作的一部分，您就不再看到我们与他们的心态，而我们在安全性方面还没有到位。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请加danei0707学习了解。欢迎关注“达内在线”参与分销，赚更多好礼。