美國西海岸時間2018年04月16日, 是RSA大會開幕的一天, 主會場的展廳都還在佈置中, 因此小編的重點在創新沙箱和分論壇。 其實比較讓人感覺有新意是針對 DevSecOps 的 Devops Day, 一天的會議, 都是各路專家來講述對這個新興概念的判斷。
“DevSecOps”, 一種全新的安全理念與模式, 從DevOps 的概念延伸和演變而來, 其核心理念是為安全整個 IT 團隊(包括開發、運維及安全團隊)每個人的責任, 需要貫穿從開發到運營整個業務生命週期的每一個環節。
看到這個概念, 您的第一反應是“安全運維”, 是不是新瓶裝舊酒呢?確實一直以來, 不論從主機安全還是到網路安全, 很多工作都是安全運維的交集, 既涉及到安全, 同時也涉及到運維, 沒有運維足夠的支持很多安全工作也比較難開展。 但是在本次培訓中, 您會發現最初的理解實際比較片面, 剛才提到的並不是真正 DevSecOps 所要傳達的理念, DevSecOps 的出現是為了改變和優化之前安全工作的一些現狀,
這個與 Gartner2017 宣傳的 DevSecOps 的理念的完全一致的
同時容器技術的發展, 也為 DevSecOps 的發佈過程, 解決了灰度發佈, 快速更新等以前很難實現的難題。
本次參與展覽的 aqua, Twistlock, Tufin 都是容器安全方面的新銳, 通過將原有的安全性原則管理技術和容器技術配合, 打通整個安全的閉環。
其中 Fannie Mae 最近告訴我們: “歷史上, 安全團隊從開發團隊中分離出來, 每個團隊都在不同的IT領域擁有深厚的專業知識 。 “其實不需要這樣。 關心安全的企業也非常關心通過軟體快速交付業務價值的能力, 這些企業正在尋找方法, 將安全性留在應用開發生命週期內。
她說:“為了做到這一點, 他們正在整合團隊。 安全專業人員將從應用開發團隊一直嵌入到生產部署中。 ” “雙方都看到了價值, 每個團隊都拓展了他們的技能和知識基礎, 成為更有價值的技術專家。 正確的 DevOps 或 DevSecOps , 提高IT安全性。 ”
IT 團隊的任務是更快, 更頻繁地交付服務。 DevOps 成為一個很好的推動因素, 部分原因是它可以消除開發和運營團隊之間的一些傳統衝突, Ops 通常在部署之前被排除在外, 而Dev將其代碼丟在無形的牆上, 從來不進行二次管理, 更沒有任何的基礎設施維護責任。 說得委婉一些, 在數位化時代, 這種孤立的做法會產生問題。 如果安全是孤立的, 也會存在類似的問題。
我們採用 DevOps,它被證明可以通過掃除開發與運維之間的障礙來提高IT的性能。“就像不應該等到部署週期結束才開始運維一樣,也不應該等到最後才考慮安全問題。”將 DevSecOps 看作是另一個流行語是一種誘惑,但對於安全意識強的IT領導者來說,這是一個實質性的概念。安全必須是軟體發展流程中的“一等公民”,而並非最終步驟部署,或者更糟糕,只有在發生實際的安全事件後才受到重視。
“企業 DevOps 文化意味著開發人員能夠以更快的速度向生產環境提供功能和更新,特別是當自組織團隊更加樂於協作和衡量結果。”CYBRIC 首席技術官兼聯合創始人 Mike Kail 說。
在採用 DevOps 的同時,保持原有的安全實踐的團隊和公司會遇到更多的管理安全風險的痛苦,因為DevOps團隊會部署地更快、更頻繁。 目前,手動測試安全方法逐漸落後,利用自動化和協作將安全測試轉移到軟體發展生命週期,從而推動DevSecOps文化,這是IT領導者提高整體彈性和交付安全保證
我們採用 DevOps,它被證明可以通過掃除開發與運維之間的障礙來提高IT的性能。“就像不應該等到部署週期結束才開始運維一樣,也不應該等到最後才考慮安全問題。”將 DevSecOps 看作是另一個流行語是一種誘惑,但對於安全意識強的IT領導者來說,這是一個實質性的概念。安全必須是軟體發展流程中的“一等公民”,而並非最終步驟部署,或者更糟糕,只有在發生實際的安全事件後才受到重視。
“企業 DevOps 文化意味著開發人員能夠以更快的速度向生產環境提供功能和更新,特別是當自組織團隊更加樂於協作和衡量結果。”CYBRIC 首席技術官兼聯合創始人 Mike Kail 說。
在採用 DevOps 的同時,保持原有的安全實踐的團隊和公司會遇到更多的管理安全風險的痛苦,因為DevOps團隊會部署地更快、更頻繁。 目前,手動測試安全方法逐漸落後,利用自動化和協作將安全測試轉移到軟體發展生命週期,從而推動DevSecOps文化,這是IT領導者提高整體彈性和交付安全保證