DevOps 是一种强调团队之间沟通和合作的软件开发办法。最显著的特点是将以前在工程或测试等不同畛域工作过的人和流程汇集在一起,使得在一起做我的项目的时候能够相互合作和学习。
DevSecOps 可帮忙组织在整个开发过程中监控和发现平安危险,而不是在公布后的保护措施上破费大量资金和精力。通过这种形式可能爱护产品,而不会让开发人员承当过多的责任。
PART 01 DevSecOps 的指标
DevSecOps 的指标是在不影响团队生产力的状况下提供平安最佳实际。
平安开发是顺利部署过程的要害。当产品中存在平安方面的隐患,但却没有失去很好的解决,这无疑为当前减少了平安危险和更繁琐的解决形式。DevSecOps 通过揭示每个人良好的平安习惯对开发人员和运维人员来说都十分必要。
为了使平安更加无效和牢靠,应该从一开始就将平安其纳入开发当中。这意味着,与其等到问题或危机呈现时才施行保护措施,如防火墙、加密密钥等,不如在开发期间就事后解决这些平安问题,以便在前期能更好的运行。
它有助于确保在过程中尽可能早地发现平安问题,从而及时失去解决。当平安问题在仍我的项目刚完结时失去解决,就比在前期返回从新修复容易的多。
PART 02DevSecOps 的劣势
对于任何想要在这个数字时代生存上来的公司来说,平安都应该是重中之重。从升高危险到加重法律责任,在软件开发生命周期的晚期辨认缺点,能够在呈现问题时更轻松地进行平安治理。如果将重点转移到流程的晚期,那么会比在前期解决付出的代价更低。
DevSecOps 的指标是为开发人员和运维人员提供对于他们正在进行的工作更快的反馈,以便他们可能立刻失去告诉并进行调整和修复。
PART 03 实现 DevSevOps
在施行 DevSecOps 时,没有一个对立的规范和标准,因为每个组织的需要都是举世无双的。但有一些常见的做法。
① 取得管理层的反对要从根本上扭转组织思考、构建和部署软件的形式,须要的不仅仅是点对点协定。对于这种革命性的思维形式转变,管理层的反对是必要的。DevSecOps 过程能够帮忙缩小在生产中呈现被利用的软件破绽。对于那些在危险和收益之间做决定的人来说,重要的是要看到这将如何使公司受害。
② 开发人员责任 DevSecOps 流程器重安全性并使其成为开发过程的一部分,而不是预先才思考的事件。整个团队能够协同工作来编写更平安的代码和配置,这些代码和配置可能抵挡威逼,同时在呈现谬误时也能够很容易地复原。
这也不再只是平安业余人员的工作。它须要每个人都参加爱护本人的工作局部的安全性,而不是冀望他人来做。
PART 04 平安和 DevSecOps 培训
通过培训,让每个人都理解 DevSecOps 办法,他们不仅会了解它为什么重要,而且还会看到如何正确实现这种新的工作模式。
PART 05 应用适当的工具和流程
并非只有一种正确的办法来实现 DevSecOps,每个组织都有本人独特的构建软件的办法,当在不同文化和工作场合的不同组织中实现这些概念时,须要思考这些办法。通常状况下,动态利用平安测试工具,动静利用平安测试工具,软件成分剖析及交互式平安测试工具等自动化工具是常见的在 DevSecOps 中应用的工具。其中还包含一些自动化构建工具和缺点管理工具等。
通过向开发管道引入新的平安组件,DevSecOps 正在用 DevOps 最佳实际扩大咱们的根本开发和经营组件。DevSecOps 在软件开发中确保了平安危险在所有阶段都失去监控,而不是只在公布之后才修复破绽和 bug,在破绽被利用后再修复就为时已晚。
作者:中科天齐软件源代码平安检测核心
文章起源:https://devops.com/how-devops-helps-with-secure-deployments/
文章转自:https://jishuin.proginn.com/p/763bfbd7faa7