DevOps,或者说企业应用开发团队和系统运营团队的合作,已经成为一个时髦的 IT 话题。这一新的运营模式往往与敏捷式软件开发方法并举,同时还会利用云计算的可扩展性——这一切,都是为了使企业更加灵活,更具竞争力。但是,有专家指出,如今实践该方法的典型模式,其实远远不够深入。
来自 Gartner 研究公司的分析师 David Cearley 认为,当今的 CIO 应该修改 DevOps 的定义,使之包括安全理念。他称之为 DevSecOps,“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。
Cearley 还指出,企业投资防火墙、IPS 等外围防御系统本身无可厚非。但是,在塔吉特、家得宝及索尼等公司爆出的安全漏洞使其损失惨重,显然,单纯地守卫边界是不够的。在 DevOps 方案中添加安全理念之后,CIO 与其团队将不得不更加细致地考虑安全——在软件开发过程的一开始,而不是事后,就考虑安全问题。
然而,在传统的 IT 组织中,往 DevOps 实践添加安全理念更多地是人与流程的问题,而非技术问题。在许多公司组织当中,团队们在相互独立的环境中工作,甚至不存在共同的隔墙,Cearley 指出。不过,将所有人召集到同一个房间里比在所有人之间达成共识要容易得多。幸运的是,大多数企业都一个人专注于打破文化障碍,同时要求安全融入 DevOps 最佳实践,这个人就是 CIO(首席信息官)。
”CIO 是唯一能够推动安全融入 DevOps 实践的人,因为安全团队、运营团队、应用团队以及架构团队全都向他汇报“ Cearley 指出。”CIO 是领导者;CIO 必须告诉他的团队:“如果你们不能协同工作,那就没必要留下来了”。
DevSecOps 宣言
- CIO 驱动
- 不同团队间的相互协作
- 专注于风险,而非安全
Cearley 指出,"对抗团队在工作中”先入为主的观念与偏见”将是 CIO 面临的最大挑战。“ CIO 应该引导团队重新考虑问题。对此,有什么好的建议吗?Cearley 补充道:“CIO 不应该简单地接受关于应用开发、运营以及安全的单独报告,而应该强调合作的重要性,要求“以统一的方法开发、运营以及管理我们提供给用户的服务,同时保证这一过程的安全性。”
Cearley 还建议 CIO 们不应聚焦于安全,而应该重视风险,这可以帮助 IT 团队更好地实现业务视角与开发流程的整合。”如果你从安全出发,重点就变成了需要哪些工具来实现终极的安全。抱歉的是,这是错误的焦点,“ Cearley 指出。“ 你必须从风险入手。”通过时刻关注风险,CIO 将帮助企业理解 IT 如何帮助企业进入新市场或尝试新型的分析技术,以及 IT 如何最小化这样做的潜在危险。
