DevSecOps 和 DevOps 有什么区别 ?
DevOps 最开始最要是强调开发和运维的协作与配合,至今,已不仅仅涉及开发和运维团队。为了更好地发挥出 DevOps 作用,就必须将IT全流程,各工种,融入应用的整个生命周期中 。
在传统的安全开发流程中,安全地介入,相对靠后,基本上是产品发布前的一道防线,客观上造成了开发和测试是按照敏捷以及DevOps的流程在运行,到最后一步,有回到了瀑布式的方式进行安全测试,造成了发布的“肠阻塞”。
如今,在 DevOps 协作框架下,传统的安全管理机制已经很难匹配快速安全交付的需求, 安全防护是整个项目团队的共同责任,需要贯穿至整个生命周期的每一个环节。这个理念催生出了”DevSecOps”一词,通过Sec 为DevOps 奠定坚实的安全基础,通过DevOps提高团队的Security效率。
DevSecOps 是”Develop、Security和Operation”的缩写。它本身强调的是安全文化的变革,建立“人人负责”的文化氛围,构建自动化的安全预防和安全测试的方法,将安全性作为整个 IT 生命周期的共同责任。
DevSecOps 要求将Security 嵌入整个开发的全过程,那就意味着,基础设施必须同步满足DevOps和Security的需求。
在DevSecOps 的环境里面,项目启动时,就应该和团队的架构师,安全负责人,威胁建模工程师,Security Champion, DevOps工程师,以及渗透测试工程师协商讨论,构建团队的DevSecOps 基础框架。同时,强调全员共担的安全文化,压实开发工程师的安全意识。 提升安全活动的自动化水平,也是DevSecOps的一个重点, 通过工具,脚本等,将安全活动嵌入流水线,减少手动的活动和所耗时间。
DevSecOps 的Sec自动化
推行DevOps的公司,一般的业务要求都是高频发布,开发周期短,敏捷开发,要更好的部署和运行DevSecOps,必须强调团队之间的无缝配合,打破部门壁垒,构建“一荣俱荣,一损俱损”的意识。同时,需要最大限度的构建DevSecOps的自动化过程,应该包括完整的开发和运维全过程,
主要包括以下方面:
- 代码的静态安全性检测,并实时反馈测试结果,降低修复周期。
- 自动运行动态渗透测试。
- 增加容器安全防护扫描。
- API的自动化测试。
- 自动化安全漏洞更新。
- 等等