這些步驟可以作為路線圖，使企業(yè)能夠從一開始就成功實(shí)施DevSecOps并創(chuàng)建安全軟件。

用外行的語言來說，DevSecOps是軟件開發(fā)、安全和軟件操作的組合形式。根據(jù)Gartner公司發(fā)布的一份研究報(bào)告，“據(jù)估計(jì)，到2022年，至少95%的云安全故障將是企業(yè)的錯(cuò)”。因此，在開發(fā)任何應(yīng)用程序時(shí)，開發(fā)人員都不能有可能使企業(yè)容易受到此類攻擊的漏洞。類似地，DevSecOps是在學(xué)習(xí)操作和維護(hù)代碼的同時(shí)理解軟件和學(xué)習(xí)編碼。重要的是要記住，單個(gè)安全漏洞可能導(dǎo)致客戶對任何業(yè)務(wù)失去信心。因此，優(yōu)先維護(hù)嚴(yán)格的安全措施是至關(guān)重要的。

DevSecOps包括將安全性集成到應(yīng)用程序開發(fā)和操作中，以及促進(jìn)團(tuán)隊(duì)之間的協(xié)作，并利用自動(dòng)化和工具來構(gòu)建健壯且安全的應(yīng)用程序。在DevSecOps方法中，安全性是在開發(fā)過程中主動(dòng)解決的，而不是事后才想到的。安全測試和錯(cuò)誤修復(fù)被集成到開發(fā)周期中，以便在軟件開發(fā)生命周期的早期檢測安全漏洞。這種方法促進(jìn)了創(chuàng)新，提高了開發(fā)人員的速度，并允許在保持對安全性的關(guān)注的同時(shí)加快發(fā)布周期。DevSecOps已被證明有利于實(shí)現(xiàn)更快的開發(fā)、更快的特性發(fā)布和敏捷實(shí)踐的實(shí)現(xiàn)。通過從一開始就將安全性集成到開發(fā)過程中，DevSecOps有助于降低安全漏洞和其他網(wǎng)絡(luò)安全威脅的風(fēng)險(xiǎn)，這些威脅可能會(huì)給企業(yè)帶來聲譽(yù)、法律責(zé)任和經(jīng)濟(jì)損失。

DevSecOps還有助于促進(jìn)團(tuán)隊(duì)之間的協(xié)作和溝通文化，從而更好地協(xié)調(diào)安全和開發(fā)目標(biāo)。它還可以幫助企業(yè)滿足合規(guī)性需求，因?yàn)榘踩詮囊婚_始就集成到開發(fā)過程中。總的來說，DevSecOps對于任何想要構(gòu)建安全、可靠和高質(zhì)量的軟件產(chǎn)品的企業(yè)來說都是必不可少的，這些產(chǎn)品可以滿足客戶的需求，同時(shí)最大限度地降低安全風(fēng)險(xiǎn)。

盡管企業(yè)在采用現(xiàn)代業(yè)務(wù)實(shí)踐方面取得了進(jìn)展，例如向云提供商過渡和利用敏捷框架，但在企業(yè)優(yōu)先級(jí)方面，DevSecOps經(jīng)常被利益相關(guān)者忽視。DevSecOps計(jì)劃通常缺乏一個(gè)清晰的框架，主管人員可以隨時(shí)支持。Gartner預(yù)測，到2022年，由于企業(yè)學(xué)習(xí)和實(shí)施變革方面的困難，75%的DevOps計(jì)劃將無法達(dá)到預(yù)期。

采用DevSecOps

企業(yè)實(shí)現(xiàn)DevSecOps的過程是一項(xiàng)跨越多年的長期任務(wù)，從長遠(yuǎn)來看，盡早啟動(dòng)它對企業(yè)是有利的。雖然有大量的資源可用于提高對DevOps及其好處的認(rèn)識(shí)，但相對而言，關(guān)于DevSecOps的信息較少，企業(yè)可以使用一個(gè)全面的框架來順利地將DevSecOps集成到他們的運(yùn)營中。

下面是企業(yè)開始DevSecOps之旅時(shí)需要記住的一些關(guān)鍵步驟。

1.需要DevSecOps嗎?

開始DevSecOps之旅的第一步是全面了解DevSecOps需要什么以及為什么它是必要的。一旦建立了這種理解，重點(diǎn)就應(yīng)該轉(zhuǎn)移到評(píng)估誰將從采用DevSecOps中受益以及如何受益。這將需要對業(yè)務(wù)用例、可用資源和企業(yè)當(dāng)前的痛點(diǎn)進(jìn)行徹底的評(píng)估。在此階段，對任何現(xiàn)有的技術(shù)債務(wù)、缺陷和錯(cuò)誤保持透明是非常必要的，因?yàn)檫@將有助于確定需要改進(jìn)的領(lǐng)域，并有機(jī)會(huì)查明缺陷的根本原因。此過程將能夠識(shí)別當(dāng)前應(yīng)用程序和流程中的差距，并提供評(píng)估可用機(jī)會(huì)的見解。

2.如何推廣/支持它?

接下來的步驟包括確定一組大使或擁護(hù)者，他們與企業(yè)內(nèi)的DevSecOps使命保持一致并致力于此。這提供了一個(gè)機(jī)會(huì)，可以招募有熱情的人，他們可以帶來新的觀點(diǎn)。應(yīng)該利用多種渠道來促進(jìn)整個(gè)企業(yè)的機(jī)會(huì)，以吸引不同的個(gè)人群體，包括工程師、操作人員、安全專家、測試人員和管理人員。理想的候選人應(yīng)該有上進(jìn)心，渴望學(xué)習(xí)，能適應(yīng)不確定性，善于團(tuán)隊(duì)合作。這群人將幫助DevSecOps的使命變?yōu)楝F(xiàn)實(shí)，并倡導(dǎo)這一事業(yè)，促進(jìn)在整個(gè)企業(yè)中更廣泛地采用DevSecOps。

3.DevSecOps策略

要通過DevSecOps實(shí)現(xiàn)企業(yè)范圍的變更，創(chuàng)建DevSecOps策略至關(guān)重要。這包括向所有相關(guān)人員灌輸“安全第一”的心態(tài)，并從一開始就納入安全最佳實(shí)踐。在制定戰(zhàn)略時(shí)，重要的是要考慮優(yōu)先事項(xiàng)、時(shí)間和資源成本，并確保努力有時(shí)間限制才能成功實(shí)施。該策略用于確定作為DevSecOps采用的一部分需要實(shí)現(xiàn)的目標(biāo)。

4.領(lǐng)導(dǎo)的支持

領(lǐng)導(dǎo)和執(zhí)行人員在促進(jìn)和接受DevSecOps方面負(fù)有重大責(zé)任，獲得他們的支持以確保沒有其他業(yè)務(wù)目標(biāo)或關(guān)鍵結(jié)果阻礙在企業(yè)中采用DevSecOps是至關(guān)重要的。在這里，你要向領(lǐng)導(dǎo)展示DevSecOps戰(zhàn)略，并告知他們在時(shí)間、金錢和資源方面的初始設(shè)置成本。同時(shí)，這也是一個(gè)教育他們長期利益及其對企業(yè)影響的機(jī)會(huì)。

5.實(shí)現(xiàn)階段

真正的工作開始于執(zhí)行階段，在這個(gè)階段時(shí)間是至關(guān)重要的。從小事做起，收集反饋和迭代是至關(guān)重要的。在此階段，應(yīng)該評(píng)估可用的工具，以幫助加快采用過程。

6.成功的標(biāo)準(zhǔn)和衡量

反饋是人生成長的一個(gè)重要方面，從童年開始，人們就從父母那里得到持續(xù)的反饋，幫助他們學(xué)習(xí)和提高技能。類似地，在DevSecOps環(huán)境中，必須有一個(gè)系統(tǒng)來提供持續(xù)的反饋，以促進(jìn)持續(xù)的改進(jìn)。警報(bào)、儀表板和通過警報(bào)進(jìn)行監(jiān)視等工具可以幫助審計(jì)應(yīng)用程序并主動(dòng)檢測問題。此外，建立一個(gè)持續(xù)的反饋機(jī)制，比如每季度的敏捷回顧或調(diào)查，讓員工提供反饋。必須有適當(dāng)?shù)闹卫砗头雷o(hù)措施來衡量DevSecOps的成功采用。

上述步驟可以作為路線圖，使企業(yè)能夠從一開始就成功實(shí)施DevSecOps并創(chuàng)建安全軟件。對DevSecOps的短期投資可以產(chǎn)生長期收益，例如能夠向客戶發(fā)布更好、更快、更安全的產(chǎn)品。持續(xù)的反饋機(jī)制可以促進(jìn)持續(xù)的改進(jìn)和迭代。通過使用DecSecOps，企業(yè)可以避免與之相關(guān)的常見陷阱，并確保DevSecOps的集成代表了他們開發(fā)過程中的文化轉(zhuǎn)變，而不是一次性的努力。