“DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。
DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题;通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线。
DevSecOps是一种全新的安全理念,作用和意义建立在“每个人都对安全负责”的理念之上,通过加强内部安全测试,主动搜寻安全漏洞,及时修复漏洞、控制风险,实现与业务流程的良好整合。
DevSecOps是Gartner 在2012年的一份报告中提出的概念。在这份报告中,Gartner提出信息安全专业人士需要更主动的融入DevOps的实践中,秉承DevOps的精神,拥抱团队协作、敏捷和职责共担的哲学。
这就将安全从传统的守门员角色转变为赋能各团队,帮助传统IT业务的开发人员、运营人员完成自己应负责的任务,打补丁绝对不是安全人员应该做的,一定是开发人员和运营人员协同的结果。
自2012年Gartner提出DevSecOps概念以来,践行DevSecOps发展的企业却很少,原因很大一个关键是安全会抑制DevOps的敏捷性。如何在不影响DevOps敏捷性的基础上,把安全融入DevOps进程,开发出DevSecOps呢?
如何让DevSecOps融入IT开发中?
1、实现安全自动化
2、实现连续响应和检测机制
3、以客户为中心
4、需要团队协同合作