什么是 DevSecOps?

DevSecOps(开发、安全和运维的缩写)是一种开发实践,可在软件开发生命周期的每个阶段集成安全计划,以交付可靠且安全的应用。

DevSecOps 将安全性注入到持续集成和持续交付 (CI/CD) 管道中,使开发团队能够以 DevOps 的速度应对当今所面临的一些非常紧迫的安全挑战。

过去,安全注意事项和实践通常是在开发生命周期的后期引入。然而,随着更复杂的网络安全攻击的出现,以及开发团队转向时间更短、更频繁的应用迭代,DevSecOps 现在正成为在这个现代开发生态系统中确保应用安全的首选实践。

DevSecOps 傻瓜指南

实施 DevSecOps

DevSecOps 具有哪些优势?

安全性是当今每个企业的头等大事。幸运的是,DevSecOp 的重点便是将安全性融入每个阶段。事实证明,这是一种更安全的开发方法,同时满足当今快速发布周期的速度要求。

DevSecOps 方法带来了以下具体优势:

  • 增强了应用安全性
    DevSecOps 嵌入了一种主动方法,可在开发生命周期的早期缓解网络安全威胁。这意味着开发团队将依靠自动化安全工具来动态测试代码,在不减慢开发周期的情况下执行安全审核。

    DevOps 团队将在开发过程的各个阶段审查、审核、测试、审视和调试代码,以确保应用通过关键的安全检查点。当安全漏洞暴露出来时,应用安全和开发团队将协同处理代码工作,从而解决问题。

  • 跨团队所有权
    在开发过程的早期,DevSecOps 将开发团队和应用安全团队聚集在一起,共同构建跨团队协作方法。DevSecOps 并不是孤立、分散的运维(这会扼杀创新,甚至导致业务部门之间出现分歧),而是使各团队能够尽早达成共识,从而实现跨团队的认同和更高效的团队协作。

  • 精简应用交付
    尽早并经常在开发生命周期中嵌入安全性,尽可能多地自动执行安全流程,并精简报告流程,所有这些都可以增强安全性并支持合规性团队,从而确保安全实践能够加快开发周期。

    例如,如果开发团队完成了应用的所有初始开发阶段,却在将应用投入生产之前发现存在一系列安全漏洞,这可能会导致交付严重延迟。

  • 限制安全漏洞
    利用自动化来识别、管理和修补常见漏洞和风险 (CVE)。尽早并经常使用预构建的扫描解决方案来扫描 CVE 构建管道中的任何预构建容器映像。引入一些安全措施,这些安全措施不仅可以降低风险,还可为团队提供洞察信息,以便团队在发现漏洞时能够快速修复。

    DevSecOps 的最大优势之一是创建了精简的敏捷开发流程,这种方法如果使用得当,可大大减少安全漏洞。许多网络空间安全测试流程、任务和服务都可以轻松地与应用开发或运维团队中的自动化服务集成。

    通过强调在开发过程中采用安全优先的方法,企业可以消除无疑会影响产品发布时间表的未知变量。

为什么 DevSecOps 很重要?

在当今业务环境中,DevSecOps 对于缓解日益频繁的网络攻击非常重要。通过尽早并经常实施安全计划,各行各业的应用都可以获得以下优势。

  • 政府机构:管理高度敏感的政府信息的应用一直是恶意网络攻击的目标。通过采用安全优先的开发方法来强化这些应用,恶意实体发现和利用漏洞的几率会大大降低。
  • 医疗保健:DevSecOps 正成为医疗保健领域应用设计的首选标准。由于企业需要遵守 HIPAA,因此越来越明显的是,安全优先的方法可以大大降低患者 PII 暴露或被利用的可能性。
  • 金融:DevSecOps 还有助于金融业的开发实践。如今,金融业是网络攻击的主要目标,因此开发公司正以 DevSecOps 模式为主导,以限制网络犯罪分子访问敏感数据的可能性。

DevSecOps 的工作原理是什么?

VMware 的 DevSecOps 方法旨在为开发团队提供完整的安全堆栈。这是通过在开发、版本管理(也称为运维)和企业的安全团队之间建立持续协作,并在 CI/CD 管道的每个阶段强调这种协作来实现的。

CI/DI 管道分为六个阶段,即“编码”、“构建”、“存储”、“准备”、“部署”和“运行”。

此处解释了工作流的每个阶段,以说明在流程早期嵌入安全性的好处。

  • 编码
    与 DevSecOps 相一致的开发方法的第一步是在既安全又可信的分段中进行编码。在这里,VMware Tanzu® 提供了一些工具,可以对这些天生安全的构造块执行定期更新,以便从一开始就更好地保护您的数据和应用。
  • 构建
    要获取代码并提供包含核心操作系统、应用依赖关系和其他运行时服务的综合容器镜像,需要一个安全的过程。VMware Tanzu Build Service™ 可以安全地进行管理,并提供运行时依赖关系扫描以增强安全性,从而使 DevSecOps 团队能够安全地进行敏捷开发。
  • 存储
    在当今不断变化的网络空间安全环境中,任何现成的技术堆栈都应视为存在风险。为此,应持续检查每个现成的应用或后端服务。幸运的是,借助 VMware,开发人员可以使用 VMware Tanzu 安全地提取顽固的依赖关系,并使用 VMware Carbon Black Cloud Container™ 扫描容器映像中的漏洞。
  • 准备
    在部署之前,企业需要确保其应用符合安全策略的要求。为此,VMware Tanzu和 Carbon Black Cloud Container 可在进入开发周期的后续阶段之前,根据企业的安全策略验证配置。这些配置定义了工作负载的运行方式,不仅可以提供对潜在漏洞的关键洞察信息,还可以设置 CI/CD 管道的后续阶段,以便成功部署。
  • 部署
    前面步骤中提供的扫描使企业能够全面了解应用的安全强度。在这里,已确定的开发流程中的漏洞或错误配置将清晰呈现,使企业能够修复问题并定义更强大的安全标准,以提升安全状况。
  • 运行
    随着部署的运行,SecOps 团队可以利用主动部署分析、监控和自动化来确保持续合规,同时降低部署后出现的漏洞风险。

DevSecOps 与 DevOps

从名称上看,很容易认为 DevSecOps 只是增加了安全性的 DevOps,但事实并非如此。

DevOps 是开发和运维的缩写,专注于开发过程中这两个不可或缺的团队之间的协作。在这里,这两个团队共同制定流程、KPI 和里程碑,以期共同实现目标。这样,运维团队就可以更仔细地分析交付阶段,同时评估开发团队的持续更新和反馈。

DevSecOps 是 DevOps 的迭代版本,因为 DevSecOps 采用了 DevOps 模式,并将安全性包装为持续开发和运维流程的附加层。DevSecOps 不会将安全性视为事后补救措施,而是从安全和漏洞缓解的角度,尽早召集应用安全团队来加强开发过程。

相关解决方案和产品

Tanzu Application Platform

可在任何 Kubernetes 和任何云上运行的应用感知平台

Tanzu for Kubernetes Operations

多云容器基础架构

CloudHealth Secure State

主动管理云安全洞察信息与合规性风险