DevSecOps:一个开源的故事

DevSecOps 将文化变革、框架和工具引入开源软件。要理解 DevSecOps,您必须理解它与开源的关系。
49 位读者喜欢这篇文章。
Is Occupy Wall St. really an "open source protest?"
图片来源:

Opensource.com

近期供应链漏洞,加上拜登总统新的网络安全行政命令,再次引起人们对 DevSecOps 企业价值的关注。DevSecOps 将文化变革、框架和工具引入开源软件 (OSS)。要理解 DevSecOps,您必须理解它与 OSS 的关系。

什么是 DevSecOps?

在其最纯粹的形式中,DevOps(是开发和运维的结合)是一种打破软件交付生命周期中程序员和系统管理员之间传统壁垒的方法。公司和政府机构采用 DevOps 的原因有很多,包括提高软件交付速度以更好地服务客户。

DevSecOps 将安全性添加到 DevOps 中,进一步完善了这一概念,通过自动化解决代码质量、安全性和可靠性保证问题,从而实现持续的安全和合规性。寻求遵守萨班斯-奥克斯利法案 (SOX)、支付卡行业数据安全标准 (PCI DSS)、FedRAMP 和类似计划的组织是实施 DevSecOps 的候选者。

例如,寻求 FedRAMP 合规性 的联邦政府机构应使用 DevSecOps,因为它使他们能够将安全自动化融入到软件开发过程的每个阶段。同样,受托处理敏感个人医疗保健信息 (PHI) 的医疗机构需要 DevSecOps 来确保其云应用程序满足 HIPAA 合规性要求。

您越是将安全缓解措施左移以解决开发中的这些问题,您节省的资金就越多。您还可以避免潜在的负面头条新闻,因为您的团队不必在生产环境中响应问题,在生产环境中,补救成本可能远远高于在开发环境中发现问题时的成本。

您可以将从 DevOps 转向 DevSecOps 视为 DevOps 之旅的又一步。但这更像是对您的开发组织和整个业务的转型。这是一个典型的框架

  1. 分析、沟通和教育: 这包括分析您的开发流程成熟度;为您的组织定义 DevSecOps;并通过持续的反馈和互动、团队自主以及自动化和架构来培养 DevSecOps 文化。
  2. 将安全性集成到您的 DevOps 生命周期中: 确保您的 DevOps 和安全团队协同工作。
  3. 将自动化引入您的 DevOps 生命周期: 从小型开发项目开始,逐步扩展您的自动化战略。
  4. 协作处理 DevOps 工具链的安全变更: 让您的开发和安全团队共同参与项目,以加强您的 DevOps 工具链。
  5. 执行 DevSecOps: 让您的团队充分参与您的 DevSecOps 工具链和新流程。
  6. 鼓励持续学习和迭代: 为您的开发人员和系统管理员提供培训和反馈机制,以支持开发人员绩效和工具链的健康状况。

我们正处于软件开发历史上的一个独特时刻,即提高安全性和加快软件开发速度的需求正处于十字路口。虽然 DevOps 在提高速度方面做了很多工作,但总有更多的工作要做。

DevSecOps 的增长

更多 DevOps 资源

DevSecOps 的增长在合规性和安全意识领域中显而易见。例如,它在美国国防部内部拥有越来越多的追随者。诸如 Platform One 等项目正在为 DevSecOps 实践如何在最注重安全性的政府任务中保护开源和云技术树立榜样。

根据 Gartner 2020 年敏捷和 DevOps 技术成熟度曲线,DevSecOps 在行业内的渗透率达到 20% 到 50%。疫情加速了 DevSecOps 的发展,因为组织已将应用程序开发转移到云端。

DevSecOps 的挑战

即使您将 DevSecOps 视为 DevOps 之旅的又一步,您也可以预料到您的工具链、DevOps 和安全团队的角色以及您的团队互动方式会发生变化。超过 60% 的 GitLab 2021 年全球 DevSecOps 调查 的受访者报告说,由于 DevOps,出现了新的角色和职责,因此请提前让您的员工做好准备,并将意外降到最低。

您可以采用各种开源 DevSecOps 工具来构建您的 DevOps 管道,包括

  • Alerta 整合并去重来自多个来源的警报,以提供快速可视化。它与 Prometheus、Riemann、Nagios 以及其他开发人员的监控工具和服务集成。您可以使用 Alerta 自定义警报以满足您的要求。
  • StackStorm 提供事件驱动的自动化,提供脚本化的补救和响应。一些用户亲切地称之为“IFTTT for ops”。
  • Grafana 允许您创建自定义仪表板,聚合所有相关数据以可视化和查询安全数据。
  • OWASP Threat Dragon 是一款基于 Web 的工具,提供系统图表绘制和规则引擎,用于自动建模和缓解威胁。Threat Dragon 标榜易于使用的界面以及与其他软件开发工具的无缝集成。

DevSecOps 带来了一种文化,就像 DevOps 一样。培养 DevSecOps 文化就是将安全放在首位,并使其成为每个人的工作。DevSecOps 组织需要超越强制性的公司范围内的在线安全培训和预先设定的对话,并将安全性融入到开发和业务流程中。

DevSecOps 和开源风险缓解

企业甚至政府机构使用的 开源代码高达 90%。有时,这在一个应用程序中就占数百个离散库。毫无疑问,OSS 为 DevOps 团队节省了时间和金钱,但可能需要 DevSecOps 安全模型来缓解 OSS 风险和许可复杂性。

Synopsys 的 2020 年 DevSecOps 实践和开源管理 调查中,46% 的受访者表示,媒体对开源问题的报道影响了他们在其 OSS 项目中实施控制的方式。对近期供应链漏洞的持续报道加剧了技术领导者对其控制严格性的担忧。

OSS 风险缓解策略和 DevSecOps 在许多方面是协同工作的,例如

  • 在 OSS 进入您的软件供应链之前,开始生成软件物料清单 (SBOM) 作为质量关口。
  • 像对待企业软件的审查、购买和接收一样,重视 OSS 采购,从您的开发、安全和公司后台团队引入人才。您可以调整您的 DevSecOps 生命周期以考虑您的 OSS 采购策略。

最终想法

DevSecOps 现在是一个热门话题。许多营销人员正试图对定义进行润色,以向商业和公共部门企业销售更多产品。即便如此,OSS 和 DevSecOps 之间的关系仍然清晰,因为 DevSecOps 工具和策略提供了一个安全关口,可以将 OSS 引入软件供应链和您的 DevSecOps 管道,同时从流程的第一步开始保持安全性和合规性。

接下来阅读
标签
DevOps
安全和隐私
Will Kelly
User profile image.
Will Kelly 是一位产品营销人员和作家。他的职业生涯一直致力于撰写署名文章、白皮书、营销材料以及关于云和 DevOps 的技术内容。Opensource.com、TechTarget、InfoQ 等媒体发表过他关于 DevOps 和云的文章。他居住并在弗吉尼亚州北部地区工作。在 Twitter 上关注他:@willkelly。
更多关于我

评论已关闭。

相关内容

Creative Commons License本作品根据 Creative Commons Attribution-Share Alike 4.0 International License 获得许可。
© . All rights reserved.