将责任和功能推向软件开发生命周期开始的最新流行语“向左移动”是个好主意,但还需要更多,尤其是在DevOps情况下,软件需要快速,自动化地运行。具有高度集成的安全实践的组织在DevOps方面也处于领先地位。
因此,越来越强调将DevOps术语扩展到DevSecOps -正如本Red Hat 概述中所述, DevSecOps意味着“从一开始就考虑应用程序和基础架构的安全性。这还意味着自动化一些安全门以防止DevOps工作流程变慢。 ”
DevSecOps似乎是一个枯燥,技术含量高且孤立的追求,但在实践中,它是由一种开放文化所塑造的,该文化试图以客户日益增长的需求来提供创新。Puppet,CircleCI和Splunk Inc.发布 的最新调查的作者说:“正在进行DevOps转换的公司需要并需要有关如何集成安全性的指南。”
Puppet / CircleCI / Splunk调查涉及3,000名开发人员和管理人员,验证了DevSecOps如何增强整个DevOps实践。调查发现,具有较高DevOps实践水平的团队已经自动化了他们的安全策略,并且他们在软件开发生命周期的早期(包括规划和设计阶段)就让安全团队参与进来。
安全集成最高级别的企业中有22%达到了DevOps演进的高级阶段,而没有安全集成的企业中只有6%。
调查显示,处于最高安全集成级别的公司能够以比其他所有集成级别的公司更高的速率按需部署生产— 61%的公司能够做到。没有集成安全性的组织中只有49%可以按需部署。
调查发现,强大的DevOps文化还支持更强的安全性。这被定义为“一种共享文化,团队使用共同的工具进行协作并朝着共同的目标努力;交付团队拥有强大的自治权,但是跨越组织界限完成工作相对容易”。
通往DevSecOps的最佳途径是什么?思科是一家庞大的技术组织,在安全软件交付方面拥有巨大的业务利益,它一直在采用DevSecOps方法来评估和改善其许多基于云的网点的安全状况。思科高级副总裁兼首席信息安全官史蒂夫·马蒂诺( Steve Martino)在最近的一篇文章中分享了公司发展历程的详细信息:
建立基础。 Martino写道:“使用明确定义的指导原则在整个开发过程中推动安全性,有助于在工程,运营和安全团队之间建立相互信任。”
首先证明。“在思科,我们与信息安全和应用团队的参与者进行了一次敏捷安全性黑客马拉松,以首先配置最重要的安全性要求,即我们所说的护栏。”
自动化您的护栏。 “为您的团队提供一种简便的方法来应用防护栏,例如在提供新帐户时。还应开发简单的脚本来对现有帐户进行改造。”
不断验证。 “随着新资源的使用或发生其他变化,请通过不断的安全验证和对安全日志的实时监视来使护栏保持最新。考虑考虑根据特定的评分或等级标准创建安全健康报告,以发送给部门租户定期”。