共计 2996 个字符,预计需要花费 8 分钟才能阅读完成。
本文起源:about.gitlab.com
译者:极狐(GitLab) 市场部内容团队
灵魂拷问 :
你的平安测试,是否跟上古代软件开发模式的步调?
GitLab 预测到,2023 年企业会将更多的工夫和资源投入到继续的平安左移上,是时候实现从 DevOps 到 DevSecOps 的演变了。
详情请戳👉:重磅!GitLab 提出五大预测,洞见 2023 年 DevSecOps 发展趋势
本文将持续探讨为何古代软件须要新的应用程序平安办法——DevSecOps。
在传统研发模式中,平安,往往在软件开发生命周期的前期才被染指。当代码不可避免地返回给开发人员修复时,就减少了老本和工夫。
DevSecOps 将平安集成到残缺软件开发生命周期中,是一种将研发、平安和经营 / 运维交融在一起的软件开发办法。
DevSecOps >> Dev+Sec+Ops
与传统流程相比,DevOps 将研发和运维交融在一起,以此来进步软件开发和交付的效率、品质及安全性,而更加灵便的软件研发周期,将为企业及其客户带来更多竞争劣势。
DevOps 能够形容为在保障研发速度前提下,让多个角色良好协同,一起构思、构建和交付软件。DevOps 实际可能让研发 (Devs) 和运维 (Ops) 通过自动化、合作、疾速反馈以及继续改善四个方面来减速软件交付。
只管 DevSecOps 只是在 DevOps 两头嵌入 Sec 字样,但其产生的成果大于 Dev + Sec + Ops 的总和。
DevSecOps 是 DevOps 的演进,通过工具和办法来爱护和监控实时应用程序的部署,将应用程序平安实际融入软件开发的每个阶段,包含新的攻击面,诸如容器和编排器,必须要与应用程序自身一起监控和爱护起来。
DevSecOps 工具通过自动化平安流程,创立让研发和平安团队双双受害的流程,进而突破“部门墙”并改善合作。通过将平安嵌入到软件开发流程中,始终确保疾速研发和迭代过程的平安,在不就义品质的状况下提高效率。
💡 什么是应用程序平安?
应用程序平安是应用软件、硬件和过程办法来爱护应用程序免受内部威逼 。古代办法包含 平安左移 ,或在软件研发晚期发现并修复安全漏洞,以及通过 平安右移 在生产环境中爱护应用程序的基础设施即代码的平安。
爱护软件开发生命周期自身是一项能力要求。这种将平安高效整合进研发和运维流程中的平安构建形式,让你从 DevOps 演进到 DevSecOps。而一个端到端 DevOps 平台能够很好地实现这个指标。
DevSecOps 根本要求,自动化 + 合作 + 策略保障 + 可见性
被奉为 DevOps 圣经的书籍——《凤凰我的项目》中形容了自动化、一致性、度量和合作的重要性。DevSecOps 办法同样也是利用这些技术来打造软件,同时在整个过程中嵌入平安性能,而不是在一个独自的、孤立的过程中发展平安保障措施。
只管研发和平安团队都可能发现破绽,然而通常须要研发人员去修复这些破绽。让研发在编写代码的同时发现并修复破绽,是十分有意义的。不仅仅是平安扫描,而是在正确的工夫、正确的背景即上下文,将后果及时反馈给正确的人,以便疾速采取行动。
DevSecOps 的根本要求包含 自动化 、 合作 以及 策略保障 和可见性。
自动化
GitLab 2022 年 DevSecOps 调研报告显示,大多数 DevOps 团队定期运行动态应用程序平安测试(SAST)、动静应用程序平安测试(DAST)或者一些其余的惯例平安扫描,但 仅有不到三分之一的开发者可能在他们的工作流中取得这些后果。很多团队在改良这一现状,大部分平安专家示意,他们的 DevOps 团队正在执行平安左移,47% 的团队实现了齐全测试自动化。
合作
安全漏洞报告和修复策略的繁多可信源,为平安和研发团队提供了急需的透明度。它能够简化周期、缩小摩擦和不必要的工具转换。
策略保障
每个企业对于危险的认知都不同。安全策略将反映了什么对于企业来说是正确的,而企业必须要恪守的监管要求,也将对企业采取何种安全策略产生影响。与自动化携手并进,策略保障能够确保企业的平安和合规策略的有效性。
可见性
一个端到端的 DevSecOps 平台,能够让审计员 有一个清晰的视角来扫视软件研发生命周期从头到尾的变更状况,诸如变更工夫、人员、范畴以及变更起因等。利用繁多可信源,还可能让企业更早地理解应用程序危险。
实际 DevSecOps 有何收益?
被动发现及修复破绽
与平安滞后的传统研发不同,DevSecOps 在软件开发生命周期晚期就嵌入平安。
在整个研发流程中,通过审核、扫描以及测试代码中的平安问题等办法,团队能够在引入内部依赖或代码被公布至客户之前,被动辨认平安问题并立刻修复它们,晋升客户体验。
更快地公布更平安的软件
如果直到我的项目末期才发现安全漏洞,研发须要在最初一刻争先恐后地修复问题,很可能导致我的项目交付延期。
然而在 DevSecOps 模式下,研发人员能够在编码时发现和修复破绽,促成研发人员编写平安的代码,并缩小重复的平安审核次数。这不仅能够帮忙组织更快地公布软件,还能够确保软件更平安和更具老本效益。
与古代软件研发模式放弃同步
客户及业务团队都要求软件疾速公布、安全可靠。为此,研发团队须要采取新的合作形式和安全措施,包含自动化平安测试、CI/CD 以及漏洞补丁等。
DevSecOps 就是通过改善研发、平安和运维团队之间的合作来晋升组织效率,让团队腾出工夫聚焦在更具业务价值的工作上。
DevSecOps 适宜您的团队吗?
DevSecOps 的收益非常明显:速度、效率、合作。但您怎么晓得 DevSecOps 是否适宜您的团队?
如果您的团队正在经验以下任何一个挑战,那么 DevSecOps 或者是一个不错的抉择:
1. 研发、平安及运维团队是仓筒式的,互相孤立。如果研发和运维与平安问题是隔离的,就不可能构建平安的软件;如果平安团队不参加研发过程,就无奈正确辨认平安危险。DevSecOps 将团队汇集在一起,独特改良流程和分享想法。通过这个扭转,组织甚至能看到员工满意度和留存率的晋升。
2. 较长的研发生命周期难以满足客户和业务团队的诉求。平安可能是拉长研发生命周期的次要起因。而 DevSecOps 在软件研发生命周期的每一个阶段都实现了平安,这意味着研发流程中不须要特意停下来进行平安测试就能够建设坚硬的平安防护,减速了软件研发速度。
3. 正在上云(或者正在思考)。迁徙到云上通常意味着引入新的研发流程、工具及零碎。是时候让流程更快、更平安了,而 DevSecOps 能够轻松地实现这所有。
如何创立 DevSecOps 文化?
DevSecOps 转型能够帮忙组织实时应答平安威逼,但改革不是欲速不达的。正确的思维意识与实现这一飞跃发展的工具集同样重要。心愿以下 5 步法,能够帮忙您和您的团队疾速拥抱 DevSecOps:
1. 请记住,平安和平安业余人员是十分贵重的资产而不是瓶颈或阻碍。不要漠视这个事实:在研发流程中,越晚发现平安问题,其修复难度越大,老本越高。
2. 小步快跑。通过小量、频繁提交代码,将更快检测到安全漏洞。
3. 人人奉献。建设这样一个标准:每个人都能够对代码及流程增加评论和给出改善倡议。激励团队中的所有人提交变更,开启良好合作,让每个人对于流程改良充斥责任感。
4. 随时筹备承受审计。确保团队的每个人都理解合规的重要性,并建设收集和更新合规信息的标准。
5. 对全员进行平安实际培训。通过提供具体的平安指南和实际培训,晋升开发和运维团队的安全意识和常识。