DevSecOps的三化
时间:2022-04-12 03:09:01 | 来源:行业动态
时间:2022-04-12 03:09:01 来源:行业动态
安全问题是一个跨功能、跨层次的问题,我们在应用层面上进行防守,但是进攻者可能从网络层或操作系统层面进行攻击。而且安全问题具有时间属性,它不是静态问题。安全问题无法像传统开发方式那样进行一次性的测试或者扫描。即便是通过所有测试上线也会随着时间的推移暴露各种各样的问题。而且是必然暴露各种各样的问题。
平台化、服务化、持续化将成为DevSecOps工作的重要目标。这有两个原因,第一是平台产品本身具有的安全属性;第二是平台提供的自动化配置能力。安全实践催生工具,而工具的整合离不开平台,最终形成一个全景的方式覆盖到软件完整的周期。服务化能够给企业提供一个灵活定制的能力,保证平台本身的安全。
蒋帆表示,在应用开发过程中,DevSecOps的链条所涉及的工具越来越丰富,在开发和维护过程中更是需要跨越层次来进行防护。持续对全领域问题进行投资和维护这绝不是一种产品甚至是一个部门能够承受的。
为了降低这种负担,平台服务作为软件开发、部署、运行的类似操作系统的存在,在这些产品上内嵌的安全属性及其完整闭环对于应用的开发和维护都将成为一种必需品。
此外,DevSecOps工作需要综合性的人才,安全专家需要拥有业务知识,需要深入理解软件架构以及开发。此类人才对未来DevSecOps的工作的融合和发展将起到越来越重要的作用。
目前,ThoughtWorks安全技术和系统研发部门也在通过规划咨询以及解决方案帮助企业实现DecSecOps能力的导入。同时,ThoughtWorks也在与产业伙伴一起在方案规划、标准制定等方面展开更多合作,打造完全的生态。