DevSecOps 開發安全性營運 (開發、安全性與營運的簡稱) 是一種開發實踐方式，可在軟體開發生命週期的每個階段整合安全性計畫，以交付穩健且安全的應用程式。

DevSecOps 開發安全性營運會將安全性融入持續整合與持續交付 (CI/CD) Pipeline 中，讓開發團隊能以開發營運的速度，解決部分目前最緊迫的安全性挑戰。

以往通常是在開發生命週期的後期，才引進安全性考量與實踐方式。然而，隨著更為複雜的網路安全攻擊增加，以及開發團隊轉為對應用程式採用更短且更頻繁的疊代作業，現在 DevSecOps 開發安全性營運正逐漸成為首選的實踐方式，以確保應用程式可在這個現代化的開發商業網路中安全無虞。

安全性是現今每個組織的首要考量。所幸，DevSecOps 開發安全性營運著重於在每個階段中整合安全性；事實也證明，這不但是更安全的開發方法，同時也能迎合現今快速的發行週期速度。

DevSecOps 開發安全性營運方法可帶來數項特有優勢：

• 增強應用程式安全性
  DevSecOps 開發安全性營運會在開發生命週期的早期階段，內嵌主動式方法來減輕網路安全威脅。這表示，開發團隊需仰賴自動化安全性工具，以便在作業期間測試程式碼，並在無需減緩開發週期的情況下，執行安全性稽核。
  
  開發營運團隊會在開發流程的不同階段，審視、稽核、測試、掃描與偵錯程式碼，以確保應用程式通過關鍵的安全性檢查點。在暴露安全性弱點時，應用程式安全性與開發團隊會協同合作，共同在程式碼層級開發解決方案，以解決問題。
  
  
• 跨團隊擁有權
  DevSecOps 開發安全性營運可在開發流程的早期階段，讓開發團隊與應用程式安全性團隊齊聚合作，進而建立協同作業的跨團隊做法。相較於讓各自為政的零散作業阻礙創新，甚至導致業務單位之間彼此分離，DevSecOps 開發安全性營運可讓團隊及早達成共識，進而實現跨團隊認同，並提高團隊的協同作業效率。
  
  
• 簡化應用程式交付
  若能提早並頻繁地在開發生命週期中內嵌安全性、盡可能地將多項安全性流程自動化，以及簡化報告作業等，即可有助於強化安全性並賦予合規團隊更多能力，進而確保安全性措施可協助實現快速的開發週期。
  
  例如，若開發團隊已完成應用程式的所有初始開發階段，卻在要將應用程式投入生產前才發現多項安全性弱點，就可能會導致交付作業嚴重延遲。
  
  
• 限制安全性弱點
  運用自動化作業來識別、管理和修補常見弱點與暴露 (CVE)。及早且頻繁地使用預先建置的掃描解決方案，以針對建置 Pipeline 中任何預先建置的容器映像進行掃描，藉此確認是否有常見弱點與暴露。所引進的安全性措施不只要能降低風險，還必須為團隊提供洞悉，讓團隊可在發現弱點時，迅速進行修復。
  
  DevSecOps 開發安全性營運的最大優勢之一，就是能建立精簡的敏捷開發流程；若能正確執行這項方法，就能大幅限制安全性弱點。許多網路安全性測試流程、工作和服務，都可十分輕鬆地與應用程式開發或營運團隊的自動化服務整合。
  
  藉由在開發流程中著重於以安全性為優先的方法，組織就能排除確實會對產品發行時程造成影響的未知變數。

在現今的商業環境中，DevSecOps 開發安全性營運對於減少網路攻擊日益頻發的情況而言極為重要。透過及早並頻繁地實作安全性計畫，多種產業的應用程式即可實現下列優勢。

• 政府單位：管理高度敏感政府單位資訊的應用程式，一直是惡意網路攻擊的目標。透過以安全性為優先的開發方法來強化這類應用程式，就能大幅降低惡意實體找到並利用弱點的機率。
• 醫療照護業：在醫療照護領域中，DevSecOps 開發安全性營運正逐漸成為應用程式設計的首選標準。由於組織必須遵守 HIPAA，現在也可益發清楚地看出以安全性為優先的方法，能大幅降低病患身分識別資訊遭暴露或利用的可能性。
• 金融業：針對金融業的開發實踐方式，DevSecOps 開發安全性營運也可提供助力。今日，金融業已成為網路攻擊的主要目標，因此開發公司率先採用 DevSecOps 開發安全性營運模式，以限制敏感資料可能遭網路罪犯存取的可能性。

VMware 的 DevSecOps 開發安全性營運方法，旨在為開發團隊提供完整的安全性堆疊。為了達成此目標，必須在開發、發行管理 (也稱為營運) 與組織的資安團隊之間建立持續的協同作業關係，並在 CI/CD Pipeline 的每個階段中，著重於採用這種協同作業方式。

CI/DI Pipeline 可細分為六個階段，分別是編碼、建置、儲存、準備、部署和執行。

在此會解釋工作流程的每個階段，以說明在流程的早期階段內嵌安全性的優勢。

• 程式碼
  就符合 DevSecOps 開發安全性營運的開發方法而言，第一步是在安全且受信任的區段中編寫程式碼。在此階段，VMware Tanzu® 提供的工具可針對這類原生安全的建構元件執行定期更新，讓資料和應用程式從一開始就能獲得更妥善的保護。
  
• 建置
  為了取得程式碼並提供包含核心作業系統、應用程式相依性和其他執行期間服務的全方位容器映像，需要具備安全的流程。VMware Tanzu Build Service™ 能安全地管理此作業，並提供執行期間相依性掃描功能以強化安全性，讓 DevSecOps 開發安全性營運團隊能靈活且安全地進行開發。
• 儲存
  在現今不斷進化的網路安全環境中，任何現成的技術堆疊都必須視為風險。就此而言，應持續檢查每個現成的應用程式或後端服務。幸好，有了 VMware 技術，開發人員就能使用 VMware Tanzu 安全提取固化的相依性，並利用 VMware Carbon Black Cloud Container™ 掃描容器映像，以確認有無弱點。
• 準備
  在部署前，組織需要確保其應用程式符合安全性原則。為了達到此目標，VMware Tanzu 和 Carbon Black Cloud Container 可以在進入開發週期的後續階段之前，先根據組織的安全性原則驗證設定。這些設定會定義工作負載應如何執行，不僅能針對潛在弱點提供重要的洞悉，還能設定 CI/CD Pipeline 的後續階段，以利成功部署。
• 部署
  在前幾個步驟中進行的掃描作業，可讓組織全面瞭解應用程式的安全性強度。而在此階段，則會清楚呈現開發流程中已識別的弱點或設定錯誤，讓組織能修正問題並定義更嚴格的安全性標準，進而強化安全態勢。
• 執行
  在執行部署時，安全性營運團隊可運用主動式部署分析、監控與自動化功能，以確保在持續合規之際，也能減少部署後可能浮現的弱點風險。

若顧名思義，很容易以為 DevSecOps 開發安全性營運只是開發營運加上安全性，但事實並非如此。

「開發營運」是開發與營運的簡稱，僅著重於這兩個完整團隊在開發流程中的協同作業。就此而言，前述兩個團隊會共同開發流程、KPI 和里程碑，以合作邁向目標。這麼一來，營運團隊就能更密切地分析交付階段，同時評估開發團隊的持續更新與意見。

DevSecOps 開發安全性營運則是開發營運的反覆作業版本，因為 DevSecOps 開發安全性營運採用了開發營運模式，並將安全性額外層疊在持續開發與營運流程上。DevSecOps 開發安全性營運不會將安全性視為事後補救，而是會提早納入應用程式安全性團隊，以從安全性與減輕弱點的角度來強化開發流程。