?譯者 | 李睿

審校 | 孫淑娟

新冠疫情如今以驚人的速度加速了數(shù)字化轉(zhuǎn)型。對(duì)大多數(shù)企業(yè)來(lái)說(shuō)，數(shù)字化也帶來(lái)了相當(dāng)大的挑戰(zhàn)。為了確保獲得成功，企業(yè)需要正確的人員、正確的工具和正確的技能集的組合。

然而，數(shù)字化轉(zhuǎn)型帶來(lái)了新的領(lǐng)域，如數(shù)據(jù)庫(kù)、數(shù)字資產(chǎn)、云計(jì)算服務(wù)、應(yīng)用程序和網(wǎng)站，從而增加了對(duì)企業(yè)安全的需求。因此，至關(guān)重要的是以DevSecOps的形式部署一個(gè)完整的安全方法，以避免出現(xiàn)安全漏洞，保護(hù)企業(yè)的商譽(yù)，并維護(hù)客戶的關(guān)系。

根據(jù)研究機(jī)構(gòu)Statista公司的調(diào)查，47%的企業(yè)現(xiàn)在正在利用DevOps或DevSecOps方法進(jìn)行軟件開(kāi)發(fā)過(guò)程。這種做法旨在及時(shí)交付，同時(shí)確保高軟件質(zhì)量和縮短開(kāi)發(fā)周期。企業(yè)選擇DevOps或DevSecOps方法進(jìn)行軟件開(kāi)發(fā)的原因是更快的上市時(shí)間、代碼質(zhì)量、安全性以及開(kāi)發(fā)人員之間更好的協(xié)作。

1、什么是DevSecOps?  

DevSecOps對(duì)于那些需要立即采用安全性并提高生產(chǎn)力水平的企業(yè)來(lái)說(shuō)是一個(gè)極好的解決方案。DevSecOps被定位為開(kāi)發(fā)過(guò)程中的頂級(jí)安全控制之一，它在產(chǎn)品開(kāi)發(fā)生命周期階段的每個(gè)級(jí)別上運(yùn)行。如果實(shí)施得當(dāng)，DevSecOps可以培訓(xùn)員工，自動(dòng)化安全檢查，并確保開(kāi)發(fā)出優(yōu)秀的產(chǎn)品。

DevSecOps是安全保護(hù)和測(cè)試的無(wú)縫集成，從軟件開(kāi)發(fā)到部署階段都是如此。目標(biāo)是在生產(chǎn)前和生產(chǎn)后環(huán)境中將安全性納入持續(xù)集成（CI）/持續(xù)交付（CD）的工作流程。

2、DevOps和DevSecOps有什么區(qū)別?  

為了加速軟件產(chǎn)品的開(kāi)發(fā)和交付，現(xiàn)代軟件開(kāi)發(fā)過(guò)程使用了敏捷的軟件開(kāi)發(fā)生命周期(SDLC)過(guò)程。DevOps和DevSecOps將敏捷框架用于各種目的。DevOps主要關(guān)注應(yīng)用程序交付的速度，而DevSecOps也關(guān)注速度，但要確保部署的應(yīng)用程序的完全安全。DevSecOps的目標(biāo)是用安全的代碼庫(kù)促進(jìn)更快的開(kāi)發(fā)過(guò)程。

DevSecOps致力于在軟件開(kāi)發(fā)生命周期階段的每個(gè)級(jí)別集成安全性。在DevSecOps中，安全是利益相關(guān)者在DevOps價(jià)值鏈中的共同責(zé)任。簡(jiǎn)而言之，DevOps專注于速度，而DevSecOps在不犧牲安全性的情況下保持速度。

3、DevSecOps是如何工作的?  

通過(guò)將自動(dòng)安全檢查集成到軟件開(kāi)發(fā)管道中，企業(yè)可以在應(yīng)用程序與實(shí)際用戶進(jìn)行測(cè)試之前，驗(yàn)證其應(yīng)用程序基礎(chǔ)設(shè)施和應(yīng)用程序本身的安全性。這些類型的安全檢查能夠以容器掃描、代碼分析、基礎(chǔ)設(shè)施配置驗(yàn)證和同行評(píng)審的形式出現(xiàn)。

開(kāi)發(fā)人員可以直接識(shí)別之前在持續(xù)集成（CI）/持續(xù)交付（CD）工作流中建立的問(wèn)題并修復(fù)它們，而不是在所有工作完成后等待安全審計(jì)處理。這有助于將安全衛(wèi)生嵌入到企業(yè)的數(shù)字文化中，從而提高安全級(jí)別，同時(shí)減少故障范圍。各種軟件開(kāi)發(fā)商現(xiàn)在都在提供DevOps服務(wù)，照顧客戶端到端DevOps需求，以確保部署出健壯的產(chǎn)品。

4、DevSecOps如何幫助彌合安全漏洞?  

在軟件開(kāi)發(fā)生命周期中采用DevSecOps可以統(tǒng)一開(kāi)發(fā)過(guò)程安全和整個(gè)操作。以下了解DevSecOps是如何為企業(yè)帶來(lái)好處的，以及如何彌合安全差距。

1）更快的產(chǎn)品交付

安全問(wèn)題經(jīng)常使開(kāi)發(fā)人員在耗時(shí)的錯(cuò)誤修復(fù)過(guò)程中陷入困境。通過(guò)采用DevSecOps，事情變得更容易了，因?yàn)殚_(kāi)發(fā)人員現(xiàn)在可以很容易地解決錯(cuò)誤和故障。因此，DevSecOps消除或最小化了這種瓶頸，并簡(jiǎn)化了特定產(chǎn)品開(kāi)發(fā)過(guò)程的安全性。

2）增加漏洞修補(bǔ)和代碼覆蓋率

通過(guò)利用自動(dòng)化流程，DevSecOps通過(guò)更廣泛和增加的代碼覆蓋率和漏洞補(bǔ)丁提高了整體安全性。通過(guò)這樣做，它可以更快地分析和解決安全漏洞。

3）主動(dòng)和臨時(shí)安全保護(hù)

DevSecOps在整個(gè)軟件開(kāi)發(fā)生命周期和交付階段灌輸最佳的網(wǎng)絡(luò)安全實(shí)踐。通過(guò)將審計(jì)、代碼審查、質(zhì)量保證測(cè)試和安全漏洞掃描進(jìn)行通道化，可以在精益過(guò)程中檢測(cè)和處理問(wèn)題。有了DevSecOps，修復(fù)漏洞變得更容易、更劃算。

4）構(gòu)建自適應(yīng)安全流程

DevSecOps鼓勵(lì)一種工作文化，在整個(gè)產(chǎn)品開(kāi)發(fā)生命周期環(huán)境中不斷應(yīng)用安全性。DevSecOps作為一個(gè)過(guò)程，能夠轉(zhuǎn)換和適應(yīng)新的需求。

5、采用DevSecOps的優(yōu)點(diǎn)

隨著動(dòng)態(tài)應(yīng)用程序、靈活的云計(jì)算、共享存儲(chǔ)、數(shù)據(jù)分析和集裝箱化等現(xiàn)代技術(shù)的發(fā)展，企業(yè)在過(guò)去幾年中看到了IT完整性的巨大變化。DevSecOps能夠提升關(guān)鍵任務(wù)應(yīng)用程序的速度、性能和功能，將其擴(kuò)展到成功的新高度。

然而，由于缺乏可靠的安全性和合規(guī)性，這些應(yīng)用程序是最近才部署的。這就是DevSecOps發(fā)揮作用的地方。DevSecOps確保所有安全措施都到位，在開(kāi)發(fā)過(guò)程中不會(huì)將惡意軟件注入到應(yīng)用程序中。以下是在企業(yè)的數(shù)字化轉(zhuǎn)型項(xiàng)目中采用DevSecOps的一些優(yōu)點(diǎn)：

• 持續(xù)的安全檢查和監(jiān)控。
• 降低合規(guī)性成本。
• 更快地部署應(yīng)用程序。
• 提高項(xiàng)目從頭到尾的透明度。
• 在發(fā)生意外的安全漏洞時(shí)，恢復(fù)時(shí)間更快。
• 全程自動(dòng)化安全。

6、結(jié)語(yǔ)  

在數(shù)字化轉(zhuǎn)型時(shí)代，企業(yè)的目標(biāo)都是為客戶提供不受安全威脅和黑客攻擊的最佳產(chǎn)品。DevSecOps是一種具有成本效益和前瞻性的技術(shù)。DevSecOps的采用可以幫助開(kāi)發(fā)人員在一種已經(jīng)建立的環(huán)境中采用最佳的安全預(yù)防措施，在這種環(huán)境中，在開(kāi)發(fā)之初就開(kāi)始關(guān)注安全性。

將DevOps和安全性集成到軟件開(kāi)發(fā)生命周期中不僅使產(chǎn)品更加安全，還為其提供了競(jìng)爭(zhēng)優(yōu)勢(shì)。與當(dāng)今最好的DevSecOps服務(wù)提供商合作，他們可以有效地優(yōu)化企業(yè)的開(kāi)發(fā)過(guò)程，并幫助企業(yè)實(shí)現(xiàn)最佳的業(yè)務(wù)結(jié)果。

由于這種方法具有的優(yōu)點(diǎn)，各種規(guī)模的企業(yè)都在采用?，F(xiàn)在每個(gè)組織都意識(shí)到了它的重要性。由于采用DevSecOps，為企業(yè)提供了最大的安全性。因?yàn)樗麄兌贾谰W(wǎng)絡(luò)威脅正在日益增加，這是采用它的最好方法。

原文鏈接：https://dzone.com/articles/devsecops-and-digital-transformation-bridging-the