了解 DevSecOps

  • 1 分鐘

雖然採用雲端運算來支援商務生產力已日漸普及,但缺乏安全性基礎結構卻可能在無意中洩漏資料。

2018 年 Microsoft 安全情報報告發現:

  • 在資料待用和傳輸過程中均對資料加密的有:
    • 7% 的軟體即服務 (SaaS) 儲存體應用程式。
    • 86% 的 SaaS 共同作業應用程式。
  • 支援 HTTP 標頭工作階段保護功能的僅有
    • 4% 的 SaaS 儲存體應用程式。
    • 3% 的 SaaS 共同作業應用程式。

安全的 DevOps (或 DevSecOps)

DevOps 是為了加快工作速度。 安全性是為了強調完整性。 安全性考量往往在週期結束時才加以處理。 這可能會在管線結束時產生意料之外的工作。 安全的 DevOps 會將 DevOps 與安全性整合為一套做法,用意在於有效地達成 DevOps 和安全性目標。

Diagram showing Venn Diagram with one DevOps circle and one Security circle overlapping. The overlap is labeled Secure DevOps.

安全的 DevOps 管線可加快開發小組的工作速度,且不會因引入不必要的安全性弱點而中斷其專案。

注意

安全的 DevOps 有時也稱為 DevSecOps。 這兩個字詞您可能都看過,但都是在指相同的概念。

安全的 DevOps 內容中的安全性

在過去,安全性的運作週期通常較慢,且涉及傳統的安全性方法,例如:

  • 存取控制。
  • 環境強化。
  • 周邊保護。

安全的 DevOps 不僅包含這些傳統的安全性方法,還加上其他。 在安全的 DevOps 中,安全性就是指保護管線。

安全的 DevOps 包括決定在何處為插入您組建與發行管線的元素新增保護。

安全的 DevOps 可為您示範如何將安全性新增至自動化做法、實際執行環境和其他管線元素及新增的位置,DevOps 的速度也可讓您受益。

安全的 DevOps 可解決更廣泛的問題,例如:

  • 我的管線是否使用第三方元件,這類元件是否安全?
  • 在我們所使用的任何第三方軟體中,是否有已知的弱點?
  • 偵測弱點的速度有多快 (也稱為「偵測時間」)?
  • 修復已識別弱點的速度有多快 (也稱為「修復時間」)?

偵測潛在安全性異常的安全性做法必須和 DevOps 管線的其他部分一樣堅固且快速。 其中也包含基礎結構自動化和程式碼開發。