信息安全組成DevOps關鍵部分

DevOps是一組過程、方法與系統的統稱，用於促進開發（應用程序/軟件工程）、技術運營和質量保障（QA）部門之間的溝通、協做與整合。

爲什麼說信息安全組成了DevOps的關鍵部分之一？

DevOps在確保開發人員與運維人員能一塊兒工做而且更有效率方面很是成功。經過 DevOps，運維團隊能夠得到他們所須要用於瞭解如何創建有效和可靠 應用程序構建、打包和部署過程方面的信息。而信息安全組也一樣有許多與運維團隊同樣的需求。此外，InfoSec 還須要得到他們須要用於確保整個系統是 安全和可靠方面的信息。正如DevOps幫助開發和運維團隊能更有效地一塊兒工做同樣，DevOps 也能夠幫助開發和信息安全團隊更有效地一塊兒工做。在 DevOps中，持續部署已經成爲DevOps 的一個關鍵實踐，而且關注於經過自動化的構建、打包和部署來自動化部署流水線。經過提供一個平臺能夠在開 發生命週期裏儘早訪問和定位安全問題，信息安全團隊也一樣可以從部署流水線上獲得顯著的獲益。只要一旦有風險評估被介入，有效的安全保障就應當永遠與之同 步進行。

須要強調的是，DevOps能夠幫助定位安全風險。做爲軟件或系統開發工做的一部分，風險須要被理解和定位。安全保障不能僅僅在開發過程的末尾才加入進來。系統須要在開發生命週期的最開始，就將安全保障與設計和開發一道同時獲得關注。

• DevOps提供了必需的構造來幫助定位衆多安全風險，這是建立任何複雜技術系統的內在要求。

• 安全漏洞每每是各類事件的直接後果。例如，在 C/C++ 系統中進行不恰當的編碼實踐就可能致使緩衝溢出條件有機會被惡意攻擊者用於實施越級程序權限。緩衝溢出攻擊常常被攻擊者所利用，來得到系統的控制權，甚至能夠頗有效地得到 root 權限。

• 運行時事件的發生也可能致使不恰當的安全控制，例如發生在不一樣組件之間的身份驗證與受權。一個常見的安全問題根源就是來自於因爲某次部署所應用的不正確的訪問權限。

• 另一個安全問題領域是確保所部署的是正確的代碼。在部署過程當中所帶來的錯誤有可能會暴露給惡意攻擊者。

• 在不一樣接口之間的配置問題常常會曝露給攻擊者，以被其用於嘗試侵入系統。一旦系統缺少防範措施，不恰當的安全控制問題就有可能致使非受權的變動變得很是難以識別，並且難於執行鑑定證實來查清到底有哪些變動是因爲錯誤或是因爲惡意目的所形成的。

不難理解，經過有效的源代碼管理來構建安全的系統，軟件質量從基礎中獲得控制。慧都提供網絡安全技術資源，或許能助DevOps開發一臂之力。

通訊安全工具：

IP*Works! Internet Toolkit v9.0

IP*Works! EDI/AS2 v9.0

IP*Works! S/MIME v9.0      IP*Works! SSH      IP*Works! SSL

代碼混淆工具：

.NET Reactor v4.9     Dotfuscator     DashO Pro v7.3

Zend Guard