作者:新思科技软件质量与安全部门产品市场经理Steve Cohen
软件质量与安全、合规性要求和规避风险均是当务之急,推动了DevSecOps的发展。——调研机构451 Research发布的《DevSecOps的现实与机遇》
DevSecOps兼顾了DevOps和安全,使得开发商可以更快速地构建安全、优质的软件。其中,自动化是DevSecOps发展不可或缺的因素。
世界在不断变化,APPSec应用亦是如此,自动化是推动APPSec持续、有效地发展的关键之一。许多企业已经迈出了第一步,整合其开发和运营团队,以推动更加高效的应用程序交付和市场创新。他们相互协调,朝着共同的目标奋进 —— 快速推出稳定性能、高质量的软件,并取得了很大的进展。自动化是高效达到成果的方法之一。
通过将手动流程自动化,并且将工具构建为持续集成和持续交付(CI/CD)管道,开发和运营团队提高了工作流程效率和团队之间的信任,这一点至关重要。因为这些曾经不同的团队现在合并成为一个新的团队来解决关键问题。我们看到在集成工具中自动化的使用和扩展,例如GitLab用于版本控制, Jenkins用于CI,Jira用于缺陷跟踪以及Docker用于工具链中的容器集成。这些工具协同工作,创建一个紧密的自动化环境,旨在使企业能够专注于更快地向市场交付高质量的创新产品。
企业也意识到通过在软件开发生命周期(SDLC)早期阶段融入安全原则来应用和共享自动化的价值意义重大。这样可以缩短反馈回路并减少冲突,从而使工程师能够更快、更顺利地检测和修复安全性和合规性问题,成为软件开发工作流程的一部分。
DevSecOps中的自动化是共性。它使统一的DevSecOps团队中的开发、安全和运维角色都能够在SDLC上协作和扩展视野,无论部署框架是本地部署、私有云、公有云还是混合云。通过使其成为企业新文化中无摩擦的一部分,从而加速了安全性部署。
根据BSIMM9报告,自动化将安全性成功集成到DevOps中发挥关键作用。以下是BSIMM中支持DevSecOps的一些关键活动和实践:
尽管自动化在DevSecOps中非常关键,但它并不能替代所有手动操作。你仍然需要专注于应用程序的设计以及应用程序和安全控制的基础架构支持。找出可能增加系统易受攻击的潜在弱点非常重要,包括设计违反安全设计模式、系统忽略安全控制或者安全控制遭到错误配置、弱点或误用的情况。
随着许多企业在使用DevSecOps团队替代“企业信息孤岛”和实施CI/CD工作流程方面取得了重大进展,DevSecOps中自动化的优势包括简化、协作开发、安全和操作方法显而易见:它们帮助企业更快地将高质量、安全的性能和增强功能推向市场。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面