DevSecOps 在许多方面是企业 DevOps 成熟度的另一个层次。高层管理人员和其他利益相关者理解成熟度模型的概念,使其成为解释这种转变价值的有用方法。遵循成熟度模型还有助于您讲述一个故事,其中包括从 DevOps 到 DevSecOps 转型过程中人员、流程和技术的变化。
以下是 DevSecOps 成熟度的四个典型级别
级别 1:前 DevOps(无自动化)
在此级别,开发人员手动执行每项任务,包括创建和测试应用程序和系统。团队管理、流程和应用程序安全性仍处于非常临时的水平。
采取额外的步骤来记录您在 DevOps 前开发时代的经验教训和挑战。您需要了解您的历史,这样您才不会在未来重蹈覆辙。
级别 2:早期 DevOps/DevSecOps(轻量级自动化)
开发团队将某种形式的 DevOps 工具链标准化,以实施基础设施即代码和合规性即代码。DevSecOps 的采用处于部门级别,甚至只是团队级别。
在此阶段交替提及 DevOps 和 DevSecOps 是故意的。一些组织将从传统瀑布式开发直接快进到 DevSecOps 模型。在级别 2,DevOps/DevSecOps 和轻量级自动化是具有创新精神和更具前瞻性思维的开发团队的领域。开发人员受自身主动性或客户要求 DevOps 方法的驱动,从而找到更好的做事方式。
从级别 2 到级别 3 的转变取决于向组织其他部门传达和推销 DevSecOps 早期采用者的成功经验。务必与您的早期采用者保持联系,并鼓励他们与同行的其他人分享他们的 DevOps 和 DevSecOps 成功经验。早期的成功案例比管理层的命令更有效。
级别 3:DevOps 到 DevSecOps 的过渡(高级自动化)
DevSecOps 发展成为公司或机构范围内的战略。在组织范围的支持下,应用程序和基础设施开发与管理的自动化策略逐渐形成。DevOps 团队现在可以使用容器、Kubernetes (K8s) 和公共云服务来改进他们现有的流程。
底线:处于 DevSecOps 成熟度高级阶段的组织正在大规模部署应用程序。
级别 4:完全 DevSecOps(完全自动化)
这种专家级的 DevSecOps 成熟度状态对于除最杰出和资金最充足的企业之外的所有企业来说都是难以捉摸的,这些企业必须定期满足最严格的网络安全和合规性要求。达到此成熟度级别的组织首先是 API 和云原生。这些组织还在实施新兴技术,例如微服务、无服务器和人工智能/机器学习 (AI/ML),以加强其应用程序开发和基础设施安全性。
最后的想法
只有当您跟踪流程、团队文化和工具的成熟度时,您才能获得组织 DevSecOps 进展的最佳当前和未来状态视图。疫情在过去 18 个月中推动许多团队进行远程工作。因此,团队必须使其流程成熟并快速使其成熟,以确保其组织仍然可以向客户交付产品。 DevSecOps 汇集了开发团队在其新的工作世界中交付安全合规软件所需的所有文化、协作和工具链改进。
评论已关闭。