为什么需要DevSecOps?
时间:2022-04-25 16:39:01 | 来源:行业动态
时间:2022-04-25 16:39:01 来源:行业动态
DevSecOps与DevOps的差别是前者比后者多了Sec(Security)上。实际上,这两者之间的差别也正是体现在安全上。简单地说,把Security纳入到DevOps的体系之中,人人都是安全员,这就是DevSecOps。
众所周知,DevOps颠覆了传统的瀑布流模式,它破除了开发和运维之间的障碍,让两者顺利进行沟通、协作与整合,再通过自动化和持续迭代、持续集成的敏捷,实现了软件的快速迭代和交付。但这个流程其实和安全关系不大,基本不涉及软件的安全,或者说,软件的安全性评估还是按照传统的流程,处于软件交付的最后阶段。这就导致软件安全检查和评估要么被忽略(因为交付时间的压力),或者软件被迫延期交付,使得DevOps的效果大打折扣。
根据DevSecOps 社区发布的调研报告,虽然都认为安全很重要,但是连续3年接近一半的开发者承认他们基本没有时间去处理安全问题。另一方面,相对运维人员的不足,安全人员在开发团队中更为稀缺。
DevSecOps 的目的就是要设法改变这一现状。DevSecOps通过在 DevOps 流程的每个阶段或检查点嵌入安全性检查来消除 DevOps 和安全之间的障碍,从而更快、更安全地生成高质量的代码。DevSecOps是在软件开发生命周期(SDLC)的早期引入安全性,目标是让参与SDLC的每个人负责安全来开发更安全的应用程序,让业务、技术和安全协同工作以开发出更安全的软件。
DevSecOps的好处是在提高软件安全性的同时提高开发团队的开发效率,缩短交付时间,让产品尽快上市。比如,由于DevSecOps将安全纳入到最初的开发流程中,而不是等到最后到进行安全检查之前,同时,安全专家不必等待开发周期彻底完成,这两大因素进一步加快了产品交付速度。
其次,因为DevSecOps让人人都是安全员,在软件开发的早期就把漏洞发现纳入到开发流程中来,借此降低修复的难度和成本,而且,就从商业角度来看,软件安全性越好对后面的市场营销越有利,从而提升软件盈利能力。另一方面,DevSecOps由于将开发、运维和安全团队聚集一起来处理安全问题,培养的这种跨团队协作精神非常有助于产生出更快速有效的安全响应策略,有利于构建起更强大的安全设计模式。