什麼是 DevSecOps？系列（一）

什麼是 DevSecOps？

「DevSecOps」 的做用和意義創建在「每一個人都對安全負責」的理念之上，其目標是在不影響安全需求的狀況下快速的執行安全決策，將決策傳遞至擁有最高級別環境信息的人員。

現在，網絡空間中的諸多不安全因素使傳統的安全領導能夠力爭在高管中佔有一席之地。雖然擁有一席之地增長了安全決策的有效執行，但因爲缺少將安全技能融入到價值創造的過程中，導致業務成果的顯著減緩。沒有足夠的人手，企業經營者指望的速度沒法實現，這種安全、資源和盈利的衝突使「安全」如何創造價值的解決方案顯得愈加必要。

考慮到業務對於 DevOps，敏捷和公共雲服務的需求，傳統安全流程中的不少環節已經成爲障礙，必須消除，遺憾的是不少企業並無到意識點。傳統安全的運營是基於，一旦系統設計完成，其安全缺陷能夠在系統發佈前，由安全人員肯定，並由企業經營者修正。這隻須要有限的安全技能，就能達到結果，而且避免了在較龐大系統中增長安全上下文的需求。可是使用這種方式設計的流程只適用於瀑布模式的業務活動，而且經各方贊成。不幸的是，隨着迭代的引入，這樣運營安全的方式是有缺陷的，而且在系統內帶來了內在風險，由於業務決策須要平衡內聯，而且跟上業務的速度。所以，沒法實現協做。

一般，安全團隊沒法收集到須要的全部信息，去作出有意義的安全決策。爲了提供可以密切映射客戶需求的迭代值，價值創造流程不斷加快。導致週期結束時的一次決策或者完整系統的測試均可能會帶來毀滅性的結果。事實上，大多數這樣的安全決策不多被採納，常常被業務主管駁回，可一旦安全事件或泄露發生時，安全團隊又首先遭到質疑。

隨着 DevOps 的變化，傳統安全再也不是一種選擇。在開發週期中，它的位置太靠後，而與迭代設計和系統發佈相協做時，它又不夠迅速。隨着 DevSecOps 的引入，企業經營者或安全人員沒有必要爲了減小風險而遺棄它；相反的，企業內的每一個人都應該利用它，並加以改進，那些擁有能夠爲系統貢獻安全價值的技術人員更應該支持它。沒有內置安全控制，確定會發生系統故障，由於單純的迴避安全，只會給系統帶來更多的風險。所以，認爲價值創造和安全不能協做的想法是荒謬的。

DevSecOps 的理念使它成爲協做系統，企業經營者可得到有助於安全決策的工具和流程，同時安全人員也可使用和調試這些工具。在這種狀況下，安全工程師與 DevSecOps 理念一致，做爲安全從業者可以提供價值，而且爲了可以給更龐大的生態系統提供安全價值，他們必須作出相應的改變。這樣，DevSecOps 工程師爲系統提供的價值，是一種持續監測的能力，在非合做攻擊者發現缺陷前，打擊和確認漏洞。由於這些改變，DevSecOps 工程師是外部攻擊者的有力競爭對手。這容許全部人，包括安全人員，在業務生態系統內爲迭代價值創造作出貢獻，而不須要將嚴重缺少的安全從業人員額外添加到DevOps團隊。

並且，DevSecOps做爲一種理念和安全轉型，進一步與其餘安全變革相協做。換句話說，不管你是否是相信安全須要被添加到開發，運營，或其餘業務流程中，事實就是如此！安全須要被添加到全部業務流程中，而且須要建立一個專門的團隊，理解業務，使用工具來發現缺陷，持續測試，而企業經營者則須要運用科學預測作出決策。更進一步，要完成完整的變革進程，DevSecOps須要高級管理層和董事會的參與，將信息做爲業務運營的關鍵指標，在當今經濟下，在競爭日益激烈的低信任環境中，證實本身的價值。

本文系 OneASP 工程師翻譯。現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。

本文轉自 OneAPM 官方博客