改进 DevSecOps 框架的 5 大关键技术
Markets and Markets 的一项研究显示,全球 DevOps 的市场规模从 2017 年的 29 亿美元增加到 2023 年的 103.1 亿美元,预测期的年复合增长率(CAGR)为 24.7%。人们对 DevOps 越来越感兴趣,因为 DevOps 不仅能够压缩软件的交付周期,还能提高交付的速度和质量。
Verified Market Research 还预测,2019 年全球 DevSecOps 市场价值为 21.8 亿美元,预计到 2027 年将达到 171.6 亿美元,从 2020 年到 2027 年的年复合增长率为 30.76%。
IT 社区中,采用 DevOps 方法的项目越来越多,很多组织认可 DevSecOps 的优势。顾名思义,它意味着 DevOps 方法的安全性。在整个开发过程中,花在保持、维护开发安全性的时间会减少。安全代码是提升 DevOps 的重要组成部分。
DevSecOps 的重要目标是:将安全防护融入软件开发的整个生命周期中。这一目标将由安全团队和运营团队来完成。此文将讲述如何实施 DevSecOps 方法,以及从持续集成到部署的整个过程如何成功实现自动化。
1.团队需要了解 DevSecOps 的新文化
DevSecOps 团队由三个团队组成:开发团队、运维团队和安全团队。DevSecOps 团队的目标是在应用程序和基础设施层面增强安全协议。现代开发最佳实践迫使公司将开发、运维和安全团队整合到一个 DevSecOps 保护伞下,通过将安全性与左移策略集成,以更快的速度构建、发布代码。
它通过频繁沟通、参与、协作和团队协调来减轻负担,建立信任并授权部署过程。
2.在 DevSecOps 中使用敏捷开发
DevSecOps 不能取代敏捷方法论。它是对敏捷的一种赞美,但它不能替代从快速开发到交付产品的过程。DevSecOps 中的敏捷方法有助于以更快、更频繁的产品发布方式交付代码。
敏捷方法涵盖了软件测试、质量保证和生产支持,而 DevSecOps 提供了促进敏捷适应的工具。DevSecOps 在早期阶段就已经开始强调安全测试,从而提高软件质量。DevSecOps 被视为软件持续集成和持续交付不可或缺的部分。
3.采用自动化测试
DevSecOps 综合了 DevOps 和自动化测试的优势。自动化测试有助于保持 DevOps 模型的联系。它使管道中的交付速度得以提升、质量得以提高。而且为软件发布和后续发现错误提供了平台。网络攻击在各行各业都在加强,DevSecOps 也在处理网络攻击方面发挥着关键作用。自动化测试方法提供了全面的安全测试策略,保证了企业关键应用程序的安全。将此作为发布周期的一部分,可以有效应对早期的常见漏洞和补丁。所以,它从扮演攻击者角色的应用程序或基础设施着手,这样就可以克服此类漏洞。
4.全天候持续监控和扩展
7*24 的全天候持续监控是 DevSecOps 的基本要求。此过程包括各种持续监控工具,可确保安全系统智能运行。使我们得以更好地跟踪、审计和全面了解安全性。此外,在维护大型数据中心时,持续监控和扩展有助于扩展 IT 基础设施的自动化流程,避免资源浪费。
5.保证 CI-CD 管道的安全性
近年来,DevSecOps 的采用帮助许多企业在产品负责人、产品经理、开发、测试和 CloudOps 等各个领域承担起安全责任和所有权。问题包括大规模的落差、高管的突然辞职以及高管未能满足消费者需求。为了解决这些问题,企业强调,DevSecOps 需要联合安全团队、合作伙伴,制定 CI-CD 管道中的安全自动化方案。
此外,许多团队也遵循敏捷开发流程,其中,DevSecOps 发挥安全审计和渗透测试的作用。
DevSecOps 设计师与持续的 CI-CD 交付管道集成,确保产品(软件)交付的安全性。这让公司能按照可预测的时间和预算,快速响应安全事件。
版权声明: 本文为 InfoQ 作者【禅道项目管理】的原创文章。
原文链接:【http://xie.infoq.cn/article/8832b4aa9db7a1446c27719a3】。文章转载请联系作者。
评论