文档章节

什么是 DevSecOps?系列(一)

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/03/03 10:30
字数 1382
阅读 38
收藏 1

#什么是 DevSecOps?

「DevSecOps」 的作用和意义建立在「每个人都对安全负责」的理念之上,其目标是在不影响安全需求的情况下快速的执行安全决策,将决策传递至拥有最高级别环境信息的人员。

如今,网络空间中的诸多不安全因素使传统的安全领导可以力争在高管中占有一席之地。虽然拥有一席之地增加了安全决策的有效执行,但由于缺乏将安全技能融入到价值创造的过程当中,致使业务成果的显著减缓。没有足够的人手,企业经营者期望的速度无法实现,这种安全、资源和盈利的冲突使“安全”如何创造价值的解决方案显得越发必要。

考虑到业务对于 DevOps,敏捷和公共云服务的需求,传统安全流程中的很多环节已经成为障碍,必须消除,遗憾的是很多企业并没有到意识点。传统安全的运营是基于,一旦系统设计完成,其安全缺陷可以在系统发布前,由安全人员确定,并由企业经营者修正。这只需要有限的安全技能,就能达到结果,并且避免了在较庞大系统中增加安全上下文的需求。但是使用这种方式设计的流程只适用于瀑布模式的业务活动,并且经各方同意。不幸的是,随着迭代的引入,这样运营安全的方式是有缺陷的,并且在系统内带来了内在风险,因为业务决策需要平衡内联,并且跟上业务的速度。因此,无法实现协作。

通常,安全团队无法收集到需要的所有信息,去做出有意义的安全决策。为了提供能够密切映射客户需求的迭代值,价值创造流程不断加快。致使周期结束时的一次决策或者完整系统的测试都可能会带来毁灭性的结果。事实上,大多数这样的安全决策很少被采纳,经常被业务主管驳回,可一旦安全事件或泄露发生时,安全团队又首先遭到质疑。

随着 DevOps 的变化,传统安全不再是一种选择。在开发周期中,它的位置太靠后,而与迭代设计和系统发布相协作时,它又不够迅速。随着 DevSecOps 的引入,企业经营者或安全人员没有必要为了减少风险而遗弃它;相反的,企业内的每个人都应该利用它,并加以改进,那些拥有可以为系统贡献安全价值的技术人员更应该支持它。没有内置安全控制,肯定会发生系统故障,因为单纯的回避安全,只会给系统带来更多的风险。因此,认为价值创造和安全不能协作的想法是荒谬的。

DevSecOps 的理念使它成为协作系统,企业经营者可获得有助于安全决策的工具和流程,同时安全人员也可以使用和调试这些工具。在这种情况下,安全工程师与 DevSecOps 理念一致,作为安全从业者能够提供价值,并且为了能够给更庞大的生态系统提供安全价值,他们必须做出相应的改变。这样,DevSecOps 工程师为系统提供的价值,是一种持续监测的能力,在非合作攻击者发现缺陷前,打击和确认漏洞。因为这些改变,DevSecOps 工程师是外部攻击者的有力竞争对手。这允许所有人,包括安全人员,在业务生态系统内为迭代价值创造做出贡献,而不需要将严重缺乏的安全从业人员额外添加到DevOps团队。

而且,DevSecOps作为一种理念和安全转型,进一步与其他安全变革相协作。换句话说,无论你是不是相信安全需要被添加到开发,运营,或其他业务流程中,事实就是如此!安全需要被添加到所有业务流程中,并且需要创建一个专门的团队,理解业务,使用工具来发现缺陷,持续测试,而企业经营者则需要运用科学预测做出决策。更进一步,要完成完整的变革进程,DevSecOps需要高级管理层和董事会的参与,将信息作为业务运营的关键指标,在当今经济下,在竞争日益激烈的低信任环境中,证明自己的价值。

本文系 OneASP 工程师翻译。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。

本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
DevSecOps 实施篇!系列(二)

想在自己公司建立 DevSecOps 计划?没问题,企业规模无论大小,都可轻松实现。这里有5个基本的 DevSecOps 原则可以帮助你启动。当然,如果你对 DevSecOps 还不太熟悉,不妨先看看第一篇文章《...

OneAPM蓝海讯通
2016/03/14
37
0
什么是 DevSecOps ?

DevOps 不仅仅是开发和运营团队。如果您想要充分发挥出 DevOps 方法的敏捷性和响应力,则必须在应用的整个生命周期内同时兼顾 IT 安全性 。 为什么?以往,安全性会在开发的最后阶段由特定的...

别打我会飞
05/05
19
0
基于容器生态扩张的DevSecOps为啥引关注?

DevSecOps可能不是一个优雅的术语,但其结果是有吸引力的: 在开发的早期带来更强大的安全性。DevOps最终是要建立更好的软件,也意味着更安全的软件。 像任何IT术语一样,DevSecOps--由DevOp...

数人云
2018/02/08
17
0
为什么 DevSecOps 对 IT 领导来说如此重要

DevSecOps 也许不是一个优雅的词汇,但是其结果很吸引人:更强的安全、提前出现在开发周期中。来看看一个 IT 领导与 Meltdown 的拼搏。 如果 DevOps 最终是关于创造更好的软件,那也就意味着...

37%
2018/07/29
0
0
DevSecOps 提升安全性的五种方式

安全必须进化以跟上当今的应用开发和部署方式。 对于我们是否需要扩展 DevOps 以确实提升安全性,我们一直都有争议。毕竟,我们认为,DevOps 一直是一系列的新实践的简写,使用新工具(通常是...

作者: Gordon Haff
01/25
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Redis集群搭建

服务器资源 ip 账号 配置 操作系统 xxx.70 root/xxx 磁盘50G(/)+150G(/home)、内存16G、CPU 16core CentOS Linux release 7.2.1511 (Core) xxx.74 root/xxx 磁盘50G(/)+150G(/home)、......

jxlgzwh
3分钟前
0
0
avro

一、 ```我们已经接触过很多序列化框架(或者集成系统),比如protobuf、hessian、thrift等,它们各有优缺点以及各自的实用场景,Avro也是一个序列化框架,它的设计思想、编程模式都和thi...

hexiaoming123
5分钟前
0
0
QML TextInput的字体超出控件范围

本文链接:https://blog.csdn.net/chyuanrufeng/article/details/54691998 问题描述 :QML TextInput输入内容超过TextInput的大小 当输入过多的字符串时,会出现内容超过TextInput的大小,字...

shzwork
6分钟前
0
0
《Java 8 in Action》Chapter 10:用Optional取代null

1965年,英国一位名为Tony Hoare的计算机科学家在设计ALGOL W语言时提出了null引用的想法。ALGOL W是第一批在堆上分配记录的类型语言之一。Hoare选择null引用这种方式,“只是因为这种方法实...

HelloDeveloper
7分钟前
0
0
进击的 Java ,云原生时代的蜕变

作者| 易立 阿里云资深技术专家<br /> <br />导读:云原生时代的来临,与Java 开发者到底有什么联系?有人说,云原生压根不是为了 Java 存在的。然而,本文的作者却认为云原生时代,Java 依然...

阿里巴巴云原生
9分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部