0x00 前言
SDL针对瀑布式开发模型,DevSecOps适配的就是敏捷开发流程,也就是常说的DevOps。本篇是针对DevSecOps的概述
0x01 DevSecOps基础
DevSecOps是Gartner在2012年提出的概念,主要目的是将安全嵌入到DevOps的各个流程中。
1.优势
- 交付更快
- 节省成本
- 控制风险
2. 难点
- 信息安全知识没有普及
- 缺少领导的支持
3.最终目的
DevSecOps最终目的是引入一套框架,解决快速交付和信心安全之间的矛盾
4.指导原则
- 安全左移
- 默认安全
- 运行时安全
- 安全服务自动化/自主化
- 利用持续交付和集成
- 组织和文化建设
0x02 DevSecOps 流程
1.主要流程
主要依赖下图:
- plan
- create
- verify
- preprod
- prevent
- Detect
- Respond
- Predict