什么是 DevSecOps？系列（一）

#什么是 DevSecOps？

「DevSecOps」 的做用和意义创建在「每一个人都对安全负责」的理念之上，其目标是在不影响安全需求的状况下快速的执行安全决策，将决策传递至拥有最高级别环境信息的人员。

现在，网络空间中的诸多不安全因素使传统的安全领导能够力争在高管中占有一席之地。虽然拥有一席之地增长了安全决策的有效执行，但因为缺少将安全技能融入到价值创造的过程中，导致业务成果的显著减缓。没有足够的人手，企业经营者指望的速度没法实现，这种安全、资源和盈利的冲突使“安全”如何创造价值的解决方案显得愈加必要。

考虑到业务对于 DevOps，敏捷和公共云服务的需求，传统安全流程中的不少环节已经成为障碍，必须消除，遗憾的是不少企业并无到意识点。传统安全的运营是基于，一旦系统设计完成，其安全缺陷能够在系统发布前，由安全人员肯定，并由企业经营者修正。这只须要有限的安全技能，就能达到结果，而且避免了在较庞大系统中增长安全上下文的需求。可是使用这种方式设计的流程只适用于瀑布模式的业务活动，而且经各方赞成。不幸的是，随着迭代的引入，这样运营安全的方式是有缺陷的，而且在系统内带来了内在风险，由于业务决策须要平衡内联，而且跟上业务的速度。所以，没法实现协做。

一般，安全团队没法收集到须要的全部信息，去作出有意义的安全决策。为了提供可以密切映射客户需求的迭代值，价值创造流程不断加快。导致周期结束时的一次决策或者完整系统的测试均可能会带来毁灭性的结果。事实上，大多数这样的安全决策不多被采纳，常常被业务主管驳回，可一旦安全事件或泄露发生时，安全团队又首先遭到质疑。

随着 DevOps 的变化，传统安全再也不是一种选择。在开发周期中，它的位置太靠后，而与迭代设计和系统发布相协做时，它又不够迅速。随着 DevSecOps 的引入，企业经营者或安全人员没有必要为了减小风险而遗弃它；相反的，企业内的每一个人都应该利用它，并加以改进，那些拥有能够为系统贡献安全价值的技术人员更应该支持它。没有内置安全控制，确定会发生系统故障，由于单纯的回避安全，只会给系统带来更多的风险。所以，认为价值创造和安全不能协做的想法是荒谬的。

DevSecOps 的理念使它成为协做系统，企业经营者可得到有助于安全决策的工具和流程，同时安全人员也可使用和调试这些工具。在这种状况下，安全工程师与 DevSecOps 理念一致，做为安全从业者可以提供价值，而且为了可以给更庞大的生态系统提供安全价值，他们必须作出相应的改变。这样，DevSecOps 工程师为系统提供的价值，是一种持续监测的能力，在非合做攻击者发现缺陷前，打击和确认漏洞。由于这些改变，DevSecOps 工程师是外部攻击者的有力竞争对手。这容许全部人，包括安全人员，在业务生态系统内为迭代价值创造作出贡献，而不须要将严重缺少的安全从业人员额外添加到DevOps团队。

并且，DevSecOps做为一种理念和安全转型，进一步与其余安全变革相协做。换句话说，不管你是否是相信安全须要被添加到开发，运营，或其余业务流程中，事实就是如此！安全须要被添加到全部业务流程中，而且须要建立一个专门的团队，理解业务，使用工具来发现缺陷，持续测试，而企业经营者则须要运用科学预测作出决策。更进一步，要完成完整的变革进程，DevSecOps须要高级管理层和董事会的参与，将信息做为业务运营的关键指标，在当今经济下，在竞争日益激烈的低信任环境中，证实本身的价值。

本文系 OneASP 工程师翻译。现在，多样化的攻击手段层出不穷，传统安全解决方案愈来愈难以应对网络安全攻击。OneRASP 实时应用自我保护技术,能够为软件产品提供精准的实时保护，使其免受漏洞所累。

本文转自 OneAPM 官方博客