基于容器生态扩张的DevSecOps为啥引关注？

DevSecOps可能不是一个优雅的术语，但其结果是有吸引力的: 在开发的早期带来更强大的安全性。DevOps最终是要创建更好的软件，也意味着更安全的软件。

 

像任何IT术语同样，DevSecOps--由DevOps衍生而来，很容易被炒做和盗用。可是这个术语对拥抱DevOps文化的IT领导者以及实现其承诺的实践和工具而言，具备真正的意义。

 

DevSecOps什么意思？

 

Datic公司首席技术官兼共同创始人RobertReeves说：“DevSecOps是开发，安全和运维的组合。它提醒咱们，对于应用程序来讲，安全和建立、部署到生产上一样重要。”

 

向非技术人员解释DevSecOps的一个简单方法：它有意识地更早地将安全性融入到开发过程当中。

 

红帽安全战略家Kirsten Newcomer 最近告诉咱们： “历史上，安全团队从开发团队中分离出来，每一个团队都在不一样的IT领域拥有深厚的专业知识  。“其实不须要这样。关心安全的企业也很是关心经过软件快速交付业务价值的能力，这些企业正在寻找方法，将安全性留在应用开发生命周期内。经过在整个CI / CD中集成安全实践，工具和自动化来采用DevSecOps。”

 

她说：“为了作到这一点，他们正在整合团队。安全专业人员将从应用开发团队一直嵌入到生产部署中。” “双方都看到了价值，每一个团队都拓展了他们的技能和知识基础，成为更有价值的技术专家。正确的DevOps或DevSecOps ，提升IT安全性。”

 

IT团队的任务是更快，更频繁地交付服务。DevOps成为一个很好的推进因素，部分缘由是它能够消除开发和运营团队之间的一些传统冲突，Ops一般在部署以前被排除在外，而Dev将其代码丢在无形的墙上，历来不进行二次管理，更没有任何的基础设施维护责任。说得委婉一些，在数字化时代，这种孤立的作法会产生问题。按照Reeves的说法，若是安全是孤立的，也会存在相似的问题。

 

Reeves说：“咱们采用DevOps，它被证实能够经过扫除开发与运维之间的障碍来提升IT的性能。“就像不该该等到部署周期结束才开始运维同样，也不该该等到最后才考虑安全问题。”

 

DevSecOps为何会出现？

 

将DevSecOps看做是另外一个流行语是一种诱惑，但对于安全意识强的IT领导者来讲，这是一个实质性的概念。安全必须是软件开发流程中的“一等公民”，而并不是最终步骤部署，或者更糟糕，只有在发生实际的安全事件后才受到重视。

SumoLogic公司安全与合规副总裁George Gerchow表示：“DevSecOps不只仅是一个流行词，因为诸多缘由它是IT的当前和将来状态。“最重要的好处是可以将安全性融入到开发和运营流程中，为实现敏捷性和创新提供保障。”

 

此外，在场景中出现的DevSecOps多是DevOps自身正在成熟并深刻挖掘IT内部的另外一个标志。

 

“企业DevOps文化意味着开发人员可以以更快的速度向生产环境提供功能和更新，特别是当自组织团队更加乐于协做和衡量结果。”CYBRIC首席技术官兼联合创始人Mike Kail说。

 

在采用DevOps的同时，保持原有的安全实践的团队和公司会遇到更多的管理安全风险的痛苦，由于DevOps团队会部署地更快、更频繁。

 

手动测试安全方法逐渐落后

 “目前，手动测试安全方法逐渐落后，利用自动化和协做将安全测试转移到软件开发生命周期，从而推进DevSecOps文化，这是IT领导者提升总体弹性和交付安全保证的惟一路径。”凯尔说。

 

（早期）对安全性测试的改变也让开发人员受益：在开发新服务或部署更新服务以前，他们并无发现代码中的明显漏洞，而是常常在开发的早期阶段发现并解决潜在的问题，几乎没有安全人员的介入。

 

SAS首席信息安全官Brian Wilson表示：“正确的作法是，DevSecOps能够将安全性归入开发生命周期，使开发人员可以更快，更方便地保护应用程序，不会形成安全干扰。

 

Wilson将静态（SAST）和源代码分析（SCA）工具集成到团队的持续交付中，帮助开发人员在代码中对潜在问题，以及第三方依赖的漏洞进行反馈。

 

Wilson说：“开发人员能够主动、反复地缓解app的安全问题，并从新进行安全扫描，无需安全人员参与。DevSecOps还能够帮助开发团队简化更新和修补程序。

 

DevSecOps并不意味着企业再也不须要安全专家，就像DevOps并不意味着企业再也不须要基础架构专家同样。它只是有助于减小瑕疵进入生产的可能性，或减缓部署。

 

DevSecOps遭遇的危机

 

来自Sumo Logic公司的Gerchow分享了DevSecOps文化的实例：当最近的Meltdown和Spectre消息出现时，团队的DevSecOps方法可以迅速作出响应，以减轻风险，而对内外部客户没有任何明显的干扰。 对云原生和受高度监管的公司来讲很是重要。

 

第一步，Gerchow的小型安全团队（具有开发技能）可以经过Slack与其主要云供应商之一合做，确保基础设施在24小时内彻底修补好。

 

 “而后，个人团队当即开始了OS级别的修复，不须要给终端用户停机时间，也无需请求工程师，那样意味着要等待长时间的变动管理流程。全部这些变化都是经过Slack打开自动化Jira tickets进行的，并经过日志和分析解决方案进行监控，“Gerchow解释说。

 

这听起来像DevOps文化，正确的人员、流程和工具组合相匹配，但它明确地将安全做为该文化和组合的一部分。

 

Gerchow说：“在传统环境下，停机须要花费数周或数月的时间，由于开发、运营和安全这三项功能都是孤立的。凭借DevSecOps流程和理念，终端用户能够经过简单的沟通和当天的修复得到无缝的体验。”

 

2018DevSecOps三大预测

 

2018年企业的DevSecOps将迎来一些真正的变革。

对于DevSecOps来讲，2017年是美好的一年，DevSecOps从一个半朦胧的概念演变成可行的企业功能。

 

容器和容器市场的迅速扩张在很大程度上推进了这一演变，容器市场本质上与DevOps和DevSecOps相互交织在一块儿。通常来讲，快速增加和创新每每比科学更能预测趋势，但我仍然愿意尝试一下。

 

从Docker Hub和成熟的容器生态系统中获取了超过120亿张图片，就企业的DevSecOps而言，咱们几乎看不到冰山的一角。不过，相信在2018年，咱们将看到：基础变革的开始。我认为它会是这样的：

 

>>>>1.企业领导者和IT利益相关者意识到DevSecOps正在改进DevOps

DevOps将开发团队和运维团队聚在一块儿，它推进协做文化不足为奇。加入安全举措可能听起来很简单，但多年来，安全问题一直是过后的事情，致使企业文化容易使安全团队与其余IT团队造成对立，包括开发团队。

 

可是事情发生了变化。

在雅虎亏损3.5亿美圆的商业环境下，暴露了其脆弱的安全情况，企业领导者将网络安全看做是一个运维sinkhole的时代已经结束。增强网络安全如今是企业的当务之急。但这种转变须要时间才能从新回到IT文化中。

DevOps和DevSecOps的崛起无疑为重塑应用程序安全性创造了一个可贵且使人兴奋的机会，可是DevOps可能会致使转变速度发生变化。DevOps团队和应用程序架构师天天都可以认识到安全的重要性，并欢迎安全团队的加入，但他们之间仍然存在须要磨合的鸿沟。

为正确实施DevSecOps，安全团队须要与DevOps团队保持一致，企业领导者须要为此打造空间和预算。到2019年，但愿企业领导人可以意识到推进一个重要的、合法的安全胜利的机会。

>>>>2.成功的组织模式将会出现，最可能的是，安全与DevOps团队之间的紧密协做。

虽然该预测并不特别具备启发性，可是相关的。了解DevSecOps须要来自安全和DevOps团队的平等协做，快速跟踪标准蓝图或实施模型，将DevSecOps集成（并最终自动化）到CI / CD进程中。

虽然不一样企业有不一样的需求，但大多数公司都使用相同的技术工具，特别是在使用容器的状况下。这就为统一的标准化提供了条件。此外，容器的开源特性能够促进相关信息的共享和标准开发。

到目前为止，因为DevOps团队拥有开发流程，他们一直在安全方面处于领先地位。然而，我认为，DevSecOps须要由安全团队领导， 他们是负责企业安全和风险的人，当安全事故发生时，他们会被解雇或被迫离开。

2018年，安全团队须要增强并展现团队的价值和技能。将安全性融入到IT结构中，而不是在网络安全问题成为事实以后才想起。如今咱们有机会来实现这一目标。

>>>>3.安全团队仍然要缓慢适应DevOps的现实

过去，企业安全团队一般在不重视或不了解安全须要的文化中运营。难怪今天的电商环境是大多数企业相对容易被破坏的环境。 

强大的安全性不只仅是外围的防火墙。尽管许多安全专家可能最终会看到这种转变，但可能不像DevOps团队所指望的那样灵活。当谈到容器（一般是appsec）时，即便是最有才华和最优秀的安全专家也会面临学习的瓶颈。更不用说已经被充分证实的网络安全技能短缺的现状。

虽然这些因素可能在短时间内下降安全对DevOps和 DevSecOps的支持，可是我认为DevSecOps是解决技能短缺问题的一部分。将安全集成到应用程序交付过程当中，并将其自动化比用回溯方法更有效率和更具成本效益，能够解决在部署应用程序以前解决安全漏洞。安全专业人士能够经过开放的态度，以新的方式发挥他们的才能，从而得到不少收益。 

2018年但愿这个故事有一个快乐的结局。

 

原文连接：

一、3 predictions for devsecops in 2018

https://www.infoworld.com/article/3243155/devops/3-predictions-for-devsecops-in-2018.html
二、Why DevSecOps matters to IT leaders

https://enterprisersproject.com/article/2018/1/why-devsecops-matters-it-leaders