DevSecOps（开发、安全和运维的缩写）是一种开发实践，可在软件开发生命周期的每个阶段集成安全计划，以交付可靠且安全的应用。

DevSecOps 将安全性注入到持续集成和持续交付 (CI/CD) 流水线中，使开发团队能够以 DevOps 的速度应对当今所面临的一些非常紧迫的安全挑战。

过去，安全注意事项和实践通常是在开发生命周期的后期引入。然而，随着更复杂的网络安全攻击的出现，以及开发团队转向时间更短、更频繁的应用迭代，DevSecOps 现在正成为在这个现代开发生态系统中确保应用安全的首选实践。

安全性是当今每个企业的头等大事。幸运的是，DevSecOp 的重点便是将安全性融入每个阶段。事实证明，这是一种更安全的开发方法，同时可满足当今快速发布周期的速度要求。

DevSecOps 方法带来了以下具体优势：

• 增强了应用安全性
  DevSecOps 嵌入了一种主动方法，可在开发生命周期的早期阶段缓解网络安全威胁。这意味着开发团队将依靠自动化安全工具来动态测试代码，在不减慢开发周期的情况下执行安全审核。
  
  DevOps 团队将在开发过程的各个阶段审查、审核、测试、扫描和调试代码，以确保应用通过关键的安全检查点。在暴露出安全漏洞时，应用安全和开发团队将协作处理代码工作，一同解决问题。
  
  
• 跨团队所有权
  在开发过程的早期阶段，DevSecOps 将开发团队和应用安全团队聚集在一起，共同构建跨团队协作方法。DevSecOps 并不是孤立、分散的运维（这会扼杀创新，甚至导致业务部门之间出现分歧），而是使各团队能够尽早达成共识，从而实现跨团队的认同和更高效的团队协作。
  
  
• 精简应用交付
  尽早并经常在开发生命周期中嵌入安全性，尽可能多地自动执行安全流程，以及精简报告流程，所有这些都可以增强安全性并为合规性团队提供支持，从而确保安全实践能够加快开发周期。
  
  例如，假设开发团队完成了应用的所有初始开发阶段，却在将应用投入生产之前发现存在一系列安全漏洞，这就可能会导致交付严重延迟。
  
  
• 限制安全漏洞
  利用自动化来识别、管理和修补常见漏洞和风险 (CVE)。尽早并经常使用预构建的扫描解决方案来扫描 CVE 构建流水线中的任何预构建容器映像。引入一些安全措施，这些安全措施不仅可以降低风险，还可为团队提供洞察信息，以便团队在发现漏洞时能够进行快速修复。
  
  DevSecOps 的最大优势之一是创建了精简的敏捷开发流程，这种方法如果使用得当，可大大减少安全漏洞。许多网络空间安全测试流程、任务和服务都可以轻松地与应用开发或运维团队中的自动化服务集成。
  
  通过强调在开发过程中采用安全优先的方法，企业可以消除无疑会影响产品发布时间表的未知变量。

在当今的业务环境中，DevSecOps 对于缓解日益频繁的网络攻击非常重要。通过尽早并经常实施安全计划，各行各业的应用都可以获得以下优势。

• 政府机构：用于管理高度敏感的政府信息的应用一直都是恶意网络攻击的目标。通过采用安全优先的开发方法来强化这些应用，恶意实体发现和利用漏洞的几率会大大降低。
• 医疗：DevSecOps 正成为医疗领域应用设计的首选标准。由于企业需要遵守 HIPAA，有一项优势变得越来越明显，那就是安全优先的方法可以大大降低患者 PII 暴露或被利用的可能性。
• 金融：DevSecOps 还可助力金融业的开发实践。如今，金融业是网络攻击的主要目标，因此开发公司正以 DevSecOps 模式为主导，来限制网络犯罪分子访问敏感数据的可能性。

VMware 的 DevSecOps 方法旨在为开发团队提供完整的安全堆栈。这是通过在开发、版本管理（也称为运维）和企业的安全团队之间建立持续协作，并在 CI/CD 流水线的每个阶段强调这种协作来实现的。

CI/DI 流水线分为六个阶段，即“编码”、“构建”、“存储”、“准备”、“部署”和“运行”。

此处介绍了工作流的每个阶段，用于说明在流程早期嵌入安全性的好处。

• 编码
  与 DevSecOps 相一致的开发方法的第一步是在既安全又可信的分段中进行编码。在这里，VMware Tanzu® 提供了一些工具，可以对这些天生安全的构造块执行定期更新，以便从一开始就更好地保护您的数据和应用。
  
• 构建
  要获取代码并提供包含核心操作系统、应用依赖关系和其他运行时服务的综合容器映像，需要一个安全的过程。VMware Tanzu Build Service™ 可以确保整个过程安全无虞，并提供运行时依赖关系扫描来增强安全性，从而使 DevSecOps 团队能够安全地进行敏捷开发。
• 存储
  在当今不断变化的网络空间安全环境中，任何现成的技术堆栈都应视为存在风险。为此，应持续检查每个现成的应用或后端服务。幸运的是，借助 VMware，开发人员可以使用 VMware Tanzu 安全地提取顽固的依赖关系，并使用 VMware Carbon Black Cloud Container™ 扫描容器映像中的漏洞。
• 准备
  在部署之前，企业需要确保其应用符合安全策略的要求。为此，VMware Tanzu和 Carbon Black Cloud Container 可在进入开发周期的后续阶段之前，根据企业的安全策略验证配置。这些配置定义了工作负载的运行方式，不仅可以提供对潜在漏洞的关键洞察信息，还可以设置 CI/CD 流水线的后续阶段，以确保部署成功。
• 部署
  前面步骤中提供的扫描使企业能够全面了解应用的安全强度。在这里，已确定的开发流程中的漏洞或错误配置将清晰呈现，使企业能够修复问题并定义更强大的安全标准，进而改善安全状况。
• 运行
  随着部署的运行，SecOps 团队可以利用主动部署分析、监控和自动化功能来确保持续合规，同时降低部署后出现漏洞的风险。

从名称上看，很容易认为 DevSecOps 只是增加了安全性的 DevOps，但事实并非如此。

DevOps 是开发和运维的缩写，专注于开发过程中这两个不可或缺的团队之间的协作。在这里，这两个团队协作制定流程、KPI 和里程碑，以期共同实现目标。这样，运维团队就可以更仔细地分析交付阶段，同时评估开发团队的持续更新和反馈。

DevSecOps 是 DevOps 的迭代版本，因为 DevSecOps 采用了 DevOps 模式，并将安全性包装为持续开发和运维流程的附加层。DevSecOps 不会将安全性视为事后补救措施，而是从安全和漏洞缓解的角度，尽早召集应用安全团队来加强开发过程。