什么是 DevSecOps？

DevSecOps 代表开发、安全和运营，是一种从软件开发过程一开始就解决安全问题的方法。DevSecOps 方法结合了自动化、知识共享文化和平台设计实践，将安全性集成到整个 IT 生命周期中。它旨在促进团队之间对安全的共同责任，并更快地简化识别和修复漏洞的过程。

通过共享可见性、反馈和已知威胁（如潜在恶意软件或数据泄露），DevSecOps 可帮助所有团队牢记安全性 - 从开发到生产。

DevSecOps 通过将安全性自动化集成到软件开发生命周期的每个阶段来运作。它将应用程序和基础架构安全性集成到敏捷和DevOps 软件开发中使用的流程和工具中。

敏捷开发是一种迭代的、增量的开发方法，侧重于团队协作。DevOps（开发和运营）是一种方法，旨在通过使用 CI/CD（持续集成、持续交付/部署）周期自动化交付管道来优化工作流程。

敏捷和 DevOps 都是以流程优化为导向的方法，旨在加快交付周期、确保增量和频繁发布、维护持续反馈循环并减少延迟。当安全性集成到软件开发生命周期的开始阶段（然后是每个阶段）时，您就获得了 DevSecOps。

文化转变
DevSecOps 通过使安全成为每个人的责任（在组织层面）来集成安全性。在 IT 运营团队、开发团队和安全团队的协同工作下，DevSecOps 实现了安全软件交付的自动化：“更安全、更快速的软件”。

通过“左移”安全注意事项（意味着到开发周期的开始），DevSecOps 确保尽早识别和修补安全漏洞，以防止以后和在生产中出现更严重的问题。

自动化
DevSecOps 使用自动化进行安全测试、漏洞评估和部署流程。为此，DevSecOps 使用可以扫描代码、配置和基础架构的自动化工具。自动化可确保全面的可见性、提高效率、加快交付速度，并实现一致且可重复的安全检查。

流程
DevSecOps 将安全性实施到开发过程的每个阶段。它通过以下方式实现：

• 自动化测试：在开发和部署的每个阶段进行自动化安全测试，确保产品或软件保持安全。
• 持续监控：在周期的每个阶段，安全团队都会监控代码中的漏洞。
• 反馈循环：打破开发、运营和安全团队之间孤岛的协作环境使开发团队能够及时解决安全问题。

DevSecOps 很重要，因为随着公司以更快的速度在更复杂的环境中生产更多软件，安全漏洞的可能性呈指数级增长。代码发布的速度加快了管道中的安全漏洞。

云原生技术不适合静态安全策略。它们的架构和组件（无服务器、微服务、微服务中的容器）为开发人员提供了更大的灵活性，但也意味着从安全的角度来看更加复杂。随着迭代速度比以往任何时候都要快的需求不断增长，以及网络安全问题日益增多，云安全的重要性意味着 DevOps 不得不适应。这种新的开发环境就是 DevSecOps 很有价值和必要的原因。

此外，通过提高效率和确保更好的软件安全性，DevSecOps 对用户也很重要。更快地交付更安全的产品可以转化为客户满意度，这对利润产生影响。DevSecOps 不仅可以通过支持更积极主动的安全立场来帮助简化合规性，还可以向客户表明安全性对所提供服务或产品的至关重要。

DevSecOps 有益于开发生命周期的各个阶段，并进而对客户满意度产生积极影响。一些主要优势包括：

• 改进的安全态势：DevSecOps 安全态势本质上是一种积极主动的态势。通过将安全性集成到流程的每个阶段，DevSecOps 使团队能够尽早识别和解决安全漏洞 - 在它们导致耗时且可能代价高昂的问题之前。积极主动的安全方法可以降低破坏性和潜在毁灭性数据泄露和网络攻击的风险。
• 更快的威胁响应速度：DevSecOps 采用主动方法，及早消除安全漏洞，限制软件或应用程序在上线时可能容易受到的威胁数量。这简化了安全流程，并能更快地响应威胁。更重要的是，有助于早期检测和缓解的自动化还能确保快速部署补丁或更新，从而最大限度地缩短攻击窗口。这确保了安全集成和部署或交付周期。
• 打破孤岛：DevSecOps 鼓励并促进开发、安全和运营团队之间的协作。这种协作意味着团队可以打破孤岛，有利于实现快速、安全和成功交付软件的共同目标。
• 提高可见性：全面可见性或可观测性是当今复杂、混合和云原生技术栈的健康和效率的关键。从功能、应用程序性能、资源使用和安全角度，在开发过程的每个阶段获得更好的可见性，对于成功的可观测性解决方案至关重要，而这反过来又对健康、优化和安全的数字环境至关重要。
• 合规性：DevSecOps 将合规性检查集成到开发管道中。这样做可以确保组织在流程的每个步骤都遵守特定地理位置的法规和标准。
• 缩短上市时间：通过将安全性集成到 DevOps 周期中，DevSecOps 消除了在开发过程中将安全性视为事后诸葛亮时出现的传统安全瓶颈。在 DevSecOps 中使用自动化还可以减少人工干预。其结果是产品和更新的上市时间更快。DevSecOps 提供的更快上市时间和主动安全性也对成本节约产生影响。更快的部署意味着更高的效率和更高的生产力，而主动安全则可确保减少安全漏洞、停机时间和紧急修复。
• 系统弹性和自适应流程：通过持续监控和测试来帮助识别和解决漏洞，DevSecOps 有助于构建系统弹性。作为一个能够随着组织及其安全需求而成熟的自适应流程，DevSecOps 进一步提高了系统弹性。一个能够响应威胁并根据需要进行扩展的系统就是一个具有弹性的系统。

尽管 DevSecOps 有很多好处，但实施起来也可能会带来一些挑战。

让团队参与进来
DevSecOps 不仅仅是一个新工具，而是一种文化转变。任何文化转变都可能遇到阻力，尤其是当它影响到团队习惯的工作方式时。DevSecOps 旨在打破孤岛，这要求运营和开发团队接受安全也是他们的关注点和责任这一理念。

让团队参与进来的挑战还有一个额外因素，那就是需要培养新的技能。开发和运营团队需要获得安全技能，反之亦然。这可能会消耗资源，一些组织可能难以找到或培养能够掌握这些新技能的人才。培训和教育是成功实施 DevSecOps 的关键组成部分。

集成新技术
自动化是 DevSecOps 的关键，它需要新的安全测试和监控工具集。这些工具需要与当前环境兼容，这对于 ITDMs 及其团队来说，可能会占用大量时间和资源。自动化也需要时间。必须对其进行配置、测试，然后进行维护，才能实现成功的 DevSecOps 工作流程。与工具集成非常相似，自动化需要额外的技能或团队重组，这在某些组织中可能是一个挑战。

实现合规性
虽然合规性最终是 DevSecOps 的一个好处，但在不牺牲敏捷性的情况下实现合规性可能是一个挑战。这需要更高水平的专业知识，或者团队需要付出更多努力来保持敏捷性，同时确保法规遵从性。

虽然这些挑战可能会让组织不敢采用 DevSecOps，但它们也是采用该方法的理由。建立跨团队协作来克服和解决这些挑战是成功采用和成功实施工作流程的关键。

DevOps 代表开发和运营，它指的是一种全面的文化，它打破了开发和运营团队之间的传统孤岛，以加快产品和更新部署，并加强跨团队协作，从而实现更高效、更全面的工作流程。

DevSecOps 打破了安全团队的额外孤岛，并在 DevOps 协作文化中增加了第三个方面。在 DevOps 中，安全性被隔离到开发的最后阶段，而使用 DevSecOps，安全性从一开始就集成到流程中，并在整个开发周期中都得到体现。

虽然市场上有几种工具可用于 DevSecOps，但在选择适合您组织的工具时，您需要牢记某些功能。

1. 找到一个能够与您当前的系统和工作流程无缝集成的工具。
2. 寻找一个能够提供所有日志、指标、应用程序性能和安全性的完整可观测性的工具。
3. 找到一个能够监控、测量和分析 CI/CD 管道每个步骤的工具。
4. 寻找一个能够保护、监控和报告部署和容器编排的工具。
5. 寻找一个能够随着您的发展而扩展的工具。

为了充分利用 DevSecOps 的优势，请考虑以下最佳实践，将安全性纳入您的开发和运营工作流程。

左移
这是 DevSecOps 的座右铭和口头禅。将安全性转移到开发过程的开始阶段，可确保它是工作流程中不可分割的一部分，并在整个开发过程中得到体现。

左移使团队能够及早发现漏洞，并在漏洞发展成为更严重的问题之前解决它们。因此，开发团队在构建应用程序时就会考虑实施安全性。

实施跟踪、审计和监控
实施可追溯性、可审计性和可见性是成功的 DevSecOps 流程的关键，因为它们可以带来更深入的洞察力。更深入的洞察力可以提供可操作的信息，以提高系统效率、弹性和整体生产力。跟踪主要用于调试，但在确保应用程序开发中的代码安全和确保符合监管要求方面也发挥着重要作用。

审计技术、程序和管理安全控制是合规性的关键。拥有记录完备并得到所有团队成员遵守的控制措施至关重要。

监控是 DevSecOps 环境的关键。对系统和开发生命周期具有可见性对于安全性至关重要。实施警报还可以确保团队问责制，更快地响应问题，并总体上帮助团队了解他们的工作是如何相互交叉的。

考虑人员、流程和技术
实施 DevSecOps 从人开始，这意味着文化。教育是改变文化和授权团队成员接受 DevSecOps 的关键组成部分。成功的转变需要强大而优秀的领导力。

思维方式的转变会影响流程的转变：这对于为安全左移腾出空间是必要的。DevSecOps 流程的实施可能还需要新的工具和更多的自动化。

培训，培训，再培训
采用 DevSecOps 战略的一部分应该是强大的培训。开发人员不一定具备安全技能，安全专业人员也不一定具备开发技能。从文化和价值观的角度以及技能、知识和工具的角度进行教育，将确保在任何组织中成功实施 DevSecOps。

DevSecOps 和 Elastic 密切相关。凭借其 ELK 技术栈，Elastic 可以统一您的所有数据，帮助您监控和排除系统故障，使 DevSecOps 能够更有效地协同工作。

• Elastic 安全解决方案
• Elastic 可观测性解决方案
• Elastic 搜索解决方案

• 国防部 + DevSecOps：通往速度和敏捷性的道路
• 了解 DevSecOps 的未来趋势
• 向高层管理人员阐述 DevSecOps 的重要性
• 了解如何使用 Elastic Stack 实现 DevSecOps