DevSecOps,将安全植入开发运维骨髓
时间:2022-04-01 10:30:01 | 来源:行业动态
时间:2022-04-01 10:30:01 来源:行业动态
据国家互联网应急中心发布的《2019中国互联网网络安全报告》称,国家信息安全漏洞共享平台(CNVD)收录的安全漏洞数量创下了历史新高,同比上年增长14%,其中应用程序漏洞(56.2%)、Web应用漏洞(23.3%)和操作系统漏洞(10.3%)占比前三。
图1: 2019年CNVD收录的安全漏洞占比按影响对象类型分类统计(来源:CNCERT/CC)
数据背后,无数教训已让众多开发团队和企业意识到了安全的重要性,以及安全问题所引发的灾难性后果。一种全新的开发理念DevSecOps(开发安全运维),就这样应运而生。开发团队需要在软件开发的整个生命周期内将Sec,即安全(Security)融入DevOps实践。要在DevOps里严格地执行安全理念和活动,除了展开定期的安全培训以外,还需要安全团队进行攻防演练等。
要将DevSecOps这种新的组合工作模式付诸实践,首先需要所有的团队及成员都具备严谨的安全思维。然而DevSecOps在企业内部的落地往往会遇到阻力,一是高层领导不给予足够的重视和支持,业务负责人也不鼓励加强安全措施,二是DevOps实践的初衷是加速开发流程,而加入安全监督环节则被认为与DevOps所追求的高速开发背道而驰。
如果将软件产品开发生命周期比作一段道路,起点是需求分析,终点是产品交付。人们步行抵达终点,犹如采用传统的软件开发模式。而采用DevOps的敏捷模式,利用辅助工具产品及平台,就好比坐上了一辆车,可以开车快速地抵达终点。但若车开太快且车速不可控,则很容易发生安全事故。我们需要的应当是具备精良速度控制机制和刹车系统的,安全可靠的载具。
在线咨询
