了解 DevSecOps

  • 1 分钟

企业为了支持业务生产力越来越多地采用云计算,而缺乏安全基础结构可能会无意中泄露数据。

2018 Microsoft 安全智能报告发现:

  • 在以下应用中,并没有同时在静态和传输中加密数据:
    • 7% 的服务型软件 (SaaS) 存储应用。
    • 86% 的 SaaS 协作应用。
  • 只有以下应用支持 HTTP 标头会话保护:
    • 4% 的 SaaS 存储应用。
    • 3% 的 SaaS 协作应用。

安全型 DevOps(或者称为 DevSecOps)

DevOps 的目的是更快地工作。 安全性强调全面。 通常在周期结束时解决安全问题。 可能会在管道结束时产生计划外工作。 安全型 DevOps 将安全 DevOps 集成到一组旨在有效地实现 DevOps 和安全性目标的做法。

Diagram showing Venn Diagram with one DevOps circle and one Security circle overlapping. The overlap is labeled Secure DevOps.

使用安全型 DevOps 管道,开发团队不会因为引入安全漏洞而中断其项目,因此能够快速工作。

备注

安全型 DevOps 有时也称为“DevSecOps”。 你可能会看到这两个术语,但它们都指代相同的概念。

安全型 DevOps 上下文中的安全性

从历史上看,安全性通常以较慢的周期运行,并涉及传统安全方法,例如:

  • 访问控制。
  • 环境强化。
  • 外围保护。

安全型 DevOps 包含这些传统安全方法,还包含其他更多方法。 对于安全型 DevOps,安全性的目标是确保管道安全。

安全型 DevOps 涉及到确定在哪里对插入生成和发布管道的元素添加保护。

安全型 DevOps 可以展示如何以及在何处提升自动化做法、生产环境和其他管道元素的安全性,同时得益于 DevOps 的速度。

安全型 DevOps 解决了更广泛的问题,例如:

  • 我的管道使用第三方组件吗?它们是否安全?
  • 我们使用的任何第三方软件中是否有已知的漏洞?
  • 检测到漏洞需要多久(也称为“检测时间”)?
  • 修正已识别的漏洞需要多久(也称为“修正时间”)?

检测潜在安全异常的安全做法必须具有与 DevOps 管道的其他部件一样的可靠性和速度。 它还包括基础结构自动化和代码开发。