无论您习惯叫它"DevOps"还是"DevSecOps",最好确保安全防护融入了软件的整个生命周期中。DevSecOps 就是要内置安全防护,而不是仅仅在应用和数据层面做文章。如果把安全问题留到开发流程的最后再考虑,那么企业即便是采用了 DevOps 方法,也会重回冗长开发周期的老路,而这就是大家从一开始就想要避免的情况。
DevSecOps 强调,在 DevOps 计划刚启动时就要邀请安全团队和合作伙伴来确保信息的安全性,并制定自动安全防护计划。它还强调需要帮助开发人员从代码层面确保安全性;在这个过程中,安全团队需要针对已知的威胁(比如内部威胁或潜在的恶意软件)共享可见性、提供反馈并进行智能分析。由于 DevSecOps 并非始终着眼于较为传统的应用开发模式,所以这可能还包括为开发人员提供新的安全培训。
那么,怎样才算是真正地实现了安全防护一体化?对于新手而言,优良的 DevSecOps 策略应能确定风险承受能力并进行风险/收益分析。在一个特定的应用中,需要配备多少个安全控制功能?对于不同的应用,上市速度又有多重要?由于在管道中运行手动安全检查可能会非常耗时,所以自动执行重复任务是 DevSecOps 的关键所在。
