推行DevSecOps，提高业务敏捷性

June 14, 2022 | 作者 Adam Cavnar

什么是DevSecOps？

DevSecOps（开发、安全和运营）是将安全融入软件开发生命周期（SDLC）的每个阶段。

这种模式将开发、安全性、运营和测试团队、以及各种流程结合起来，可以有效、持续地实现真正的协作和高效。

DevSecOps与“DevOps+安全”的对比

DevOps开拓性地将开发、运营乃至测试团队聚集在一起，促进了跨职能协作，增强了高效推进的能力，并能以前所未有的速度对市场现状作出反应。

然而，很多使用了这种方法的企业对安全性考虑得比较滞后。DevOps能帮助团队高效协作，让企业保持机动灵活。但如果像传统开发环境中那样在最后阶段才引入安全，这种势头会戛然而止——在尾声才加入安全的DevOps方法并不能反映其真正初衷。

这也是DevSecOps这种开发模式近年来开始变得热门的原因。随着越来越多的应用程序被托管到云端、容器或无服务器环境等外部环境中，奠定安全的基础变得愈加重要。

DevSecOps的优势

#1 加快上市速度

如果把安全性留到最后一步再考虑，会拖慢应用开发周期，并造成重复工作。

DevSecOps 则会在开发过程的每一步都将安全构建到流程根基之中，因此能够在各个阶段分别发现并解决安全问题，开发人员在后期遇到的安全问题就会大大减少。开发人员甚至可以在构建伊始就开始考虑安全问题。这种做法可以加快上市进程，减少因战线拉长而产生的干扰因素，并提升交付质量。

#2 提高质量

在SDLC全过程的CI/CD工作流中注入动态和静态应用程序安全测试，团队可以在开发过程里尽早发现并补救漏洞，尽可能避免后续一系列问题。

开发人员在解决问题的同时，还可以优化代码、增加功能、调整流程，充分利用时间。

#3 增进应用安全性

网络恶意攻击层出不穷，企业应用稍有疏漏便可能被攻击者利用，开发过程中应始终抱持安全第一的想法，同时检查和重构遗留应用，考虑有多少旧应用需要更新。

在开发人员重写代码的过程中，安全团队也应持续检测潜在威胁，尽可能提前预防，免去后续可能的麻烦与损失。

#4 将合规融入开发流程

在需要始终考虑安全的工作模式下，企业内部团队工作流程都会受合规性的约束。为了满足合规要求，企业应及时自查，实施必要的管控措施。由于不同行业的合规要求各不相同，企业还应结合自身实际情况做出判断，以保证合规有效推行。

合规性问题是有时会被忽视，但又是不得不面对的重要问题。通过更早地引入合规，团队能够提前准备好所需的数据集和审查跟踪记录，证明应用完全按照合规标准构建。如此，将更容易顺利通过相关审查，大大节约企业成本与人力时间，也能更快达成开发目标，获得客户信任、树立专业形象。

#5 倡导安全文化

采纳DevSecOps 可以让安全成为公司上下共同的责任，令安全意识深入人心。

在疫情初期，远程工作人数的激增扩大了安全风险的边界，越来越多的企业开始重视安全性问题，开始重整安全团队。安全并不意味着设置瓶颈或障碍，而是商业运作不可或缺的一部分。在倡导安全文化的企业，安全性为企业保驾护航，甚至能够促进业务增长。让每个团队都培养“安全第一”理念的企业，在遇到突发情况时往往最能灵活应对，最大程度减少一切可能的损失。

DevSecOps没有一刀切的模式，不同企业需要结合行业规范和市场情况，拿出一定的时间来实现变革。选择与专业伙伴合作也是不错的选择，或能帮助企业尽快启动持久的安全优先策略。