DevSecOps 簡介（一）

DevOps，或者說企業應用開發團隊和系統運營團隊的合做，已經成爲一個時髦的 IT 話題。這一新的運營模式每每與敏捷式軟件開發方法並舉，同時還會利用雲計算的可擴展性——這一切，都是爲了使企業更加靈活，更具競爭力。可是，有專家指出，現在實踐該方法的典型模式，其實遠遠不夠深刻。

來自 Gartner 研究公司的分析師 David Cearley 認爲，當今的 CIO 應該修改 DevOps 的定義，使之包括安全理念。他稱之爲 DevSecOps，「它是糅合了開發、安全及運營理念以建立解決方案的全新方法」。

Cearley 還指出，企業投資防火牆、IPS 等外圍防護系統自己無可厚非。可是，在塔吉特、家得寶及索尼等公司爆出的安全漏洞使其損失慘重，顯然，單純地守衛邊界是不夠的。在 DevOps 方案中添加安全理念以後，CIO 與其團隊將不得不更加細緻地考慮安全——在軟件開發過程的一開始，而不是過後，就考慮安全問題。

然而，在傳統的 IT 組織中，往 DevOps 實踐添加安全理念更多地是人與流程的問題，而非技術問題。在許多公司組織當中，團隊們在相互獨立的環境中工做，甚至不存在共同的隔牆，Cearley 指出。不過，將全部人召集到同一個房間裏比在全部人之間達成共識要容易得多。幸運的是，大多數企業都一我的專一於打破文化障礙，同時要求安全融入 DevOps 最佳實踐，這我的就是 CIO(首席信息官)。

」CIO 是惟一可以推進安全融入 DevOps 實踐的人，由於安全團隊、運營團隊、應用團隊以及架構團隊全都向他彙報「 Cearley 指出。」CIO 是領導者；CIO 必須告訴他的團隊：「若是大家不能協同工做，那就不必留下來了」。

##DevSecOps 宣言

1. CIO 驅動

2. 不一樣團隊間的相互協做

3. 專一於風險，而非安全

Cearley 指出，"對抗團隊在工做中」先入爲主的觀念與偏見」將是 CIO 面臨的最大挑戰。「 CIO 應該引導團隊從新考慮問題。對此，有什麼好的建議嗎？Cearley 補充道：「CIO 不該該簡單地接受關於應用開發、運營以及安全的單獨報告，而應該強調合做的重要性，要求「以統一的方法開發、運營以及管理咱們提供給用戶的服務，同時保證這一過程的安全性。」

Cearley 還建議 CIO 們不該聚焦於安全，而應該重視風險，這能夠幫助 IT 團隊更好地實現業務視角與開發流程的整合。」若是你從安全出發，重點就變成了須要哪些工具來實現終極的安全。抱歉的是，這是錯誤的焦點，「 Cearley 指出。「 你必須從風險入手。」經過時刻關注風險，CIO 將幫助企業理解 IT 如何幫助企業進入新市場或嘗試新型的分析技術，以及 IT 如何最小化這樣作的潛在危險。

現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客。

本文轉自 OneAPM 官方博客