在技术社区中,人们倾向于交替使用 DevSecOps 和敏捷开发这两个术语。虽然它们有一些相似之处,例如都旨在更早地检测风险,但也存在一些差异,这些差异 会极大地改变它们在您的组织中的运作方式。
DevSecOps 建立在敏捷开发所确立的一些原则之上。然而,DevSecOps 尤其侧重于集成安全功能,而敏捷则侧重于交付软件。
了解如何保护您的网站或应用程序免受勒索软件和其他威胁,实际上取决于您使用的软件和系统开发方法。您的需求可能会影响您选择使用 DevSecOps、敏捷开发还是两者都使用。
DevSecOps 和敏捷之间的差异
这两个系统之间的主要区别归结为一个简单的概念: 安全性。根据您的软件开发实践,您公司的安全措施——以及何时、何地以及由谁实施这些措施——可能会有很大差异。
每个企业都需要 IT 安全来保护其重要数据。虚拟专用网络 (VPN)、数字证书、防火墙保护、多因素身份验证、安全云存储以及教育员工有关基本网络安全措施的知识,如果一个企业真正重视 IT 安全,那么这些都是应该采取的行动。
当您信任 DevSecOps 时,您正在将公司的安全提升到与持续集成和交付同等重要的地位。DevSecOps 方法强调在开发的最开始就注重安全,并使其成为整体软件质量不可或缺的组成部分。
这是由于 DevSecOps 安全中的三个主要原则
- 平衡用户访问权限与数据安全
- 使用 VPN 和 SSL 加密数据,以在数据传输过程中保护其免受入侵者攻击
- 使用工具扫描新代码中的安全缺陷并通知开发人员有关缺陷的信息,从而预测未来的风险
虽然 DevOps 一直旨在包含安全性,但并非每个实践 DevOps 的组织都牢记这一点。 这就是 DevSecOps 作为 DevOps 的演进可以提供清晰思路的地方。尽管它们的名称相似,但两者不应混淆。在 DevSecOps 模型中,安全性是组织的主要驱动力。
与此同时,敏捷开发更侧重于迭代开发周期,这意味着反馈会不断集成到持续的软件开发中。敏捷的关键原则是拥抱不断变化的环境,为客户和用户提供竞争优势,与开发人员和利益相关者紧密合作,并在整个过程中始终关注技术卓越性,以帮助提高效率。换句话说,除非敏捷团队在其对卓越的定义中包含安全性,否则安全性在敏捷中就是事后才考虑的。
国防机构面临的挑战
如果说有什么组织致力于最高级别的安全性,那就是美国国防部。2018 年,美国国防部发布了一份关于软件开发中“虚假敏捷”或“名义上的敏捷”的指南。该指南旨在警告美国国防部高管注意不良编程,并解释如何发现不良编程以避免风险。
不仅仅是美国国防部可以通过使用这些方法获益。医疗保健和金融行业也维护着大量的必须保持安全的敏感数据。
美国国防部通过现代化战略(包括采用 DevSecOps)来改变守卫力量至关重要。在一个即使是美国国防部也容易受到黑客攻击和数据泄露的时代,这一点尤其重要,正如其 2020 年 2 月发生的大规模数据泄露事件所证明的那样。
将网络安全最佳实践转移到实际开发中也存在固有的风险。事情不会 100% 完美。往好了说,事情会让人感到不舒服,往坏了说,可能会产生一系列全新的风险。
开发人员,特别是那些为军事软件编写代码的开发人员,可能没有充分理解应该采用 DevSecOps 的所有情况。这将有一个陡峭的学习曲线,但为了更大的安全利益,这些是必要的成长阵痛。
自动化时代的新模型
为了解决对先前安全措施日益增长的担忧,美国国防部承包商已开始评估 DevSecOps 模型。关键是将该方法部署到持续服务交付环境中。
这种情况可以通过三种方式发生。第一种方式涉及自动化,自动化已在大多数隐私和安全工具中使用,包括 VPN 和增强隐私的移动操作系统。大型云基础设施中的自动化可以处理持续的维护和安全评估,而无需依赖基于人工的检查和平衡。
第二个要素涉及过渡到将 DevSecOps 作为主要安全检查点。传统上,系统在设计时没有期望数据在各个组件之间移动时可以访问。
第三个也是最后一个要素涉及将企业方法引入军事软件开发。许多美国国防部承包商和雇员来自商业部门而不是军队。他们的背景使他们拥有为大型企业提供网络安全的知识和经验,他们可以将这些知识和经验带到政府职位中。
值得克服的挑战
切换到基于 DevSecOps 的方法会带来一些挑战。在过去十年中,许多组织已经完全重新设计了他们的开发生命周期,以符合敏捷开发实践,而如此快地进行另一次切换可能看起来令人望而生畏。
企业应该安心,因为即使美国国防部在这一转型中也遇到了麻烦,而且在推出新流程以使商业技术和工具更广泛地普及方面,他们并不孤单。
展望未来,切换到 DevSecOps 不会比切换到敏捷开发更痛苦。通过认识到将安全性构建到开发工作流程中的价值,以及在现有敏捷网络的优势基础上再接再厉,公司可以获得很多好处。
1 条评论