DevSecOps 如何提高应用程序安全性?
什么是 DevSecOps
在软件行业,DevSecOps 是一种文化转变,它将安全实践集成到 DevOps 过程中。DevSecOps 需要在开发团队和安全团队之间建立一种“安全即代码”的文化。然后,安全过程由开发团队自己进行处理和自动化。
DevSecOps 如何提高应用程序安全性?
在传统的软件开发中,开发人员每隔几个月或几年发布一个新版本的应用程序,以提高软件质量和进行安全测试。然而,公有云、容器和微服务架构的兴起对软件开发产生了直接影响,新特性和新代码快速地不断引入到产品中。这些过程大多都是自动化的,这样公司就能够更快地创新,和在竞争中保持领先地位。
DevOps 文化代表了开发团队、测试团队和运维团队之间的共同身份,以及对共同目标的认可。这允许大量的软件开发,但安全往往落后,并且无法跟上新的代码更新速度。DevSecOps 试图成为一种解决方案,它可以将安全测试集成到持续集成和持续交付管道中,并使开发团队能够在开发过程中进行测试和修复。
在 DevSecOps 中,开发团队正在进行安全测试。因此,在测试期间发现的任何问题都由同一个开发团队管理和修复。
在 DevSecOps 中,开发和安全没有分离。
集成测试可能是一个挑战,因为开发人员必须学会自己修复与安全相关的缺陷,这可能需要时间。一种方法是在开发团队中找到应用程序安全方面的专家,尽管目标是让整个团队都了解安全编程实践。
但是,开发团队仍然可以联系安全测试人员以获得专家意见,因为有些任务可能需要安全专业人员手动测试。但这应该是一个特殊的情况,而不是有一个完全不同的团队专注于安全。
开发和安全之间的这种集成也需要在管理层进行,这样才能完全成功。否则,从上到下没有对齐,可能会导致管理层冲突。
为此,开发人员为开发人员创建了一些新的工具,并将其集成到开发环境和 CI/CD 工作流中。多年来,传统的应用程序安全供应商已经改变了他们的产品,以适应 CISO 和开发人员。某些为开发人员设计的基于云的服务提供商(例如 GitHub)开始将安全测试直接包含到他们的服务中。
越来越多的公司开始在 CI/CD 管道中集成自动化安全测试,尽管这可能是一个缓慢的过程。
最终,DevSecOps 应该能够减少代码中存在的严重漏洞的数量。
原文:https://www.devopsonline.co.uk/how-can-devsecops-improve-application-security/
版权声明: 本文为 InfoQ 作者【啸天】的原创文章。
原文链接:【http://xie.infoq.cn/article/9908e25db18e9dc96535fdbc3】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论