DevSecOps 轉型啟動的三個階段

DevSecOps 是您的組織在 DevOps 之旅中的另一步。將轉型分解為階段有助於直接與開發人員和其他團隊成員合作。階段式方法還允許您從受變更影響的人員那裡獲得回饋，並在必要時進行迭代。

以下是 DevSecOps 轉型的最初三個階段

階段 1：分析、教育和培訓

在階段 1 中，您進行必要的初步工作，使 DevSecOps 成為您 DevOps 之旅的下一步。

如果您要從瀑布式軟體開發生命週期 (SDLC) 模型轉型，則此階段對您的團隊而言更為重要。進行這種飛躍可能需要您投入更多時間和精力進行 DevOps 培訓，以彌合您目前流程與 DevSecOps 之間的任何知識差距。

分析您的開發流程成熟度

無論 DevSecOps 只是您 DevSecOps 之旅的下一步，還是您直接從瀑布式 SDLC 初次涉足 DevSecOps，分析您的軟體開發流程的成熟度都是至關重要的一步。有效的分析包括

• 記錄任何流程的當前狀態
• 收集有關您目前開發流程的任何報告數據
• 透過訪談主要開發人員，找出您的開發流程中哪些有效，哪些無效

為您的組織定義 DevSecOps

DevOps 和現在的 DevSecOps 對人們來說可能意味著很多事情。軟體供應商行銷和開源軟體 (OSS) 社群各自對 DevSecOps 的定義提出了自己的見解。讓您的團隊免於任何誤解，並記錄您對 DevSecOps 的定義。明確的定義包括

• DevSecOps 對您的組織的意義
• 轉向 DevSecOps 後的預期結果
• 您的組織正在實施的工具和流程，以確保員工成功

撰寫定義不僅僅是為您的 DevOps 到 DevSecOps 轉型建立專案章程；它還確定了您的真正方向。

培養 DevSecOps 文化

您無法購買 DevSecOps。您的經理和主要技術團隊成員需要共同努力，培養 DevSecOps 文化理念，為您的 DevOps 到 DevSecOps 轉型奠定基礎。

以下是一些 DevSecOps 文化的重要元素，這些元素在您的轉型期間和之後都很重要

持續回饋

遠端 DevSecOps 團隊在持續回饋方面有其優點和缺點。管理者的角色不僅僅是針對 DevSecOps 團隊的績效提供回饋。相反地，回饋的目的是使團隊能夠更有效地協作。開源聊天工具 提供 DevSecOps 團隊即時協作所需的即時溝通。

基於容器的架構

DevSecOps 為轉向基於容器的架構奠定了基礎，這可能是 DevOps 團隊的另一個文化變革。正確且穩健的容器實作改變了開發人員和營運文化，因為它改變了架構師設計解決方案、程式設計師建立程式碼以及營運團隊維護生產應用程式的方式。

團隊自主性

DevSecOps 不適合組織中任何層級的微管理者。DevSecOps 文化的一個標準部分是讓您的團隊能夠根據他們的工作選擇他們的工具並建立流程。DevSecOps 也促進分散式決策，從而支援更高的敏捷性和創新。

DevSecOps 培訓

為您的開發人員提供安全培訓是使安全成為每個人工作一部分的另一步。培訓可以採取非正式形式的內部開發人員培訓，例如午餐學習，或者可以包括由您組織的培訓部門進行的更正式的培訓課程。

根據您的安全抱負（和預算），始終可以選擇將您的 DevOps 團隊成員送去獲得 DevSecOps 供應商認證，例如 DevOps Institute 的 DevSecOps Foundation 認證或 Practical DevSecOps 的 Certified DevSecOps Professional (CDP)。

階段 2：將安全性整合到您的 DevOps 生命週期中

在 DevOps 到 DevSecOps 轉型的階段 2 中，您將安全性流程和工具整合到您的 DevOps 生命週期中。如果您的企業已經在使用 DevOps 工具鏈，則此階段會將安全工具整合到您現有的 DevOps 工具鏈中。此階段也是對您的持續整合和持續交付/部署 (CI/CD) 工具鏈執行安全稽核以確保安全性的時機。

假設您的組織從瀑布式 SDLC 或其他傳統開發流程快速轉向 DevSecOps。在這種情況下，安全性需要成為您 CI/CD 工具鏈建置的要求。

階段 3：將自動化引入您的 DevOps 生命週期

自動化階段包括分析、外展和實驗。將自動化應用於日常軟體開發任務（例如品質保證和安全性檢查）並非精確的科學。預計您的主管和開發團隊之間會出現拉鋸戰。主管通常希望盡可能多地自動化，甚至達到極端程度。開發人員和系統管理員將更謹慎地對待自動化。

自動化是 DevSecOps 的基礎，因為它可以消除日常建置任務和安全性檢查中人為錯誤的可能性。如果您正在建置和執行雲端工作負載，則需要自動化。

自動化工具的實作效果如何 決定了您能夠多有效地實施安全實務並促進安全簽核。

以下是一些將自動化引入您的 DevOps 工具鏈的技巧

• 消除您的管理階層和利害關係人認為您能夠自動化工具鏈中每個任務的想法。與您的利害關係人互動，了解他們的自動化優先事項，並將該回饋納入您 DevOps 團隊的自動化策略中。
• 與您的開發團隊（而不僅僅是團隊負責人和經理）討論自動化如何幫助他們執行工作。以同理心傾聽他們的疑慮，並以明確的答案回答他們的問題。
• 建立一個自動化路線圖，說明您將如何將自動化引入您的工具鏈。從小處著手，並在您的工具鏈中擴展自動化。尋找一個小型專案（例如修補程式或功能更新）來測試您的實作計畫。
• 為您的其中一個 DevOps 團隊自動化一個建置、品質保證或安全性檢查，作為概念驗證專案。記錄您從這個小型專案中獲得的發現，特別是經驗教訓以及從事該專案的 DevOps 團隊成員的任何其他回饋。
• 向您的利害關係人和內部 DevOps 社群傳達試點專案的成功、經驗教訓，甚至是錯誤。

您可以利用您現有的 DevOps 卓越中心或 DevSecOps 卓越中心作為一個機會，從您組織的員工那裡收集有關自動化如何影響他們工作的意見。 否則，請在您的開發和營運組織中尋找正式和非正式管道來獲取意見。例如，非正式的午餐學習、群組聊天頻道或團隊會議可能是收集意見的理想選擇，具體取決於您的企業文化。