今天在公司内部开年邮件中了解了这个名词,下面汇总整理下什么是DevSecOps
. 什么是DevSecOps?
2. 基于 DevOps 构建 DevSecOps
3. DevSecOps文化
4. DevSecOps起因
4.1 组织与文化
4.2 过程与控制
4.3 技术与架构
4.4 技能与工具
5. DecSecOps优势
6. DevSecOps落地实施
7. DevSecOps生命周期
8. DevSecOps安全工具
1. 什么是DevSecOps?
运维同学应该都听说过DevOps,但很多人DevSecOps很多人会比较陌生,那么什么是DevSecOps呢?
DevSecOps(Development Security Operations),又称为安全DevOps,是软件开发中的一种思维,每个人都应对应用程序安全负责。通过将开发人员与IT运营集成在一起,并使每个人都专注于做出更好的安全决策,开发团队希望以更快的速度和更高的效率提供更安全的软件。
DevSecOps是DevOps 概念的延续,相较于DevOps,其主要优势之一是它可以最大限度在软件上线前减少产品的漏洞,并使其完全准备好供最终用户使用。由于每个流程和相关工作流程都通过严格的安全检查实现自动化,因此可以更准确地满足安全要求。但是,选择正确的工具来维护持续集成 (CI) 中的安全性至关重要。安全团队需要经过充分培训才能帮助实现这一目标。
2. 基于 DevOps 构建 DevSecOps
DevSecOps 不是 DevOps 的备选方案。它只是扩展了 DevOps 背后的核心概念,即开发人员和 IT 团队应该紧密合作,而不是各自为政,单独行事,由此加入安全方案。有效的 DevSecOps 意味着采用 DevOps 并将安全方案集成到整个 CI/CD 开发管道。
3. DevSecOps文化
DevSecOps 是一种文化,而非工具。许多工具和流程可以帮助企业实现 DevSecOps,但最终 DevSecOps 并不是一个特定的工具或流程。它是一种文化。
DevSecOps 可以归结为向企业灌输正确的文化价值观。开发人员、IT 团队、安全专家和其他所有参与软件交付的人员都必须接受这样的想法,即软件安全应该是一切的重中之重。在做出任何与应用相关的决定之前,您的整个团队都应该考虑安全问题。如果他们做到这一点,就实现了 DevSecOps。
4. DevSecOps起因
4.1 组织与文化
开发运维人员缺少安全技能,意识
安全专业人员很有限
第一道防线安全往往在运维的基础架构职能下,地位不高很难协同工作
开发、运维之间的壁垒,安全职能难以嵌入进 IT 声明周期的各个阶段
开发交付团队,设置管理层过度地强调进度,而忽视了安全风险
4.2 过程与控制
漏洞一般是在上线前被检测发现,而不持续在开发流程中被识别,导致修复成本高
控制点或审计过于滞后或缺失
安全需求、架构设计的持续交付得不到保障
缺少全链条

1242

被折叠的 条评论
为什么被折叠?



