IBM Cloud Docs
DevSecOps 与 Continuous Delivery

DevSecOps 与 Continuous Delivery

DevSecOps 是 Agile 和 DevOps的演进,在软件交付生命周期 (也称为 "左移") 中尽早集成安全开发最佳实践。 此方法可防止安全问题影响生产系统并导致企业审计失败。

DevSecOpsA methodology that integrates security practices with the software development and operations lifecycle. The goal of the merge is to prioritize the balance of development speed and security. 要求在持续集成和持续交付过程中自动执行安全性和合规性控制。 还收集了这些控制措施的证据,以向审计员证明历史记录中的每次更改都符合必要的控制措施。

根据金融服务行业的需求,Continuous Delivery 提供了 NIST 配置管理 控件作为服务的参考实现。 您可以通过使用模板进行几次单击来配置此服务。

DevSecOps 使用 Continuous Delivery (Git Repos and Issue Tracking,Tekton Pipeline,DevOps Insights和 Code Risk Analyzer),Secrets Manager,Key Protect,Cloud Object Storage,Container Registry 和 Vulnerability Advisor。 DevSecOps 还使用常用扫描工具,例如 SonarQube,Gosec,OWASP Zap (动态扫描),任何单元测试框架和 GPG 签名。 它还可以与更多工具 (例如,外部 Git 提供程序和工件存储) 配合使用。 DevSecOps 支持混合部署,特别是通过使用专用管道工作程序,并且可以与其他部署工具 (例如 Satellite Config 和 ArgoCD) 进行交互。

DevSecOps 如何工作?

敏捷和 DevOps 提供了自动化和更高的开发速度,软件质量以及交付流程中的一致性和可靠性,同时消除了人为错误的可能性。 DevSecOps 将一组安全性和合规性控制集成到 DevOps 流程中。 此功能允许组织在保持强大的安全态势和持续的审计就绪状态时快速且经常交付。

与敏捷和 DevOps一样,DevSecOps 引入了文化变革,并消除了开发人员,运营人员以及安全与合规人员之间的传统障碍。 开发团队对安全性拥有更大的所有权,而不是依赖外部团队来评估其软件的安全性,通常在开发周期中发现的漏洞具有更高的颠覆性和补救成本时较晚。 具有孤岛式安全团队的旧模型无法扩展,也无法满足云原生 DevOps 域中开发项目的需求。 通过 DevSecOps,安全团队的目的演变为更多的支持,建议和监管角色。

为什么应该使用 DevSecOps?

通过 DevSecOps,开发人员可以继续频繁交付更新,只需极少的摩擦。 将自动化的安全扫描和控制集成到 DevOps 管道中,为变更管理过程提供了可靠的证据。 此集成还支持在满足所有安全条件并通过特定检查时自动将新部署核准到生产环境。 在开发和部署过程中引入安全性和合规性,可以在软件到达生产环境之前及早发现问题,从而降低成本和风险。 这种方法通常被称为“左移”。 此外,即使安全最佳实践是每个组织培训的一部分,开发人员也可能缺乏安全级别的深厚专业知识。 应用 DevSecOps 并将其左移至交付生命周期,可降低在生产环境中天真地释放已知漏洞的风险。

跨组织的标准化

组织可以利用使用一组标准流程的显着优势,由开发异构产品和组件的多个不同团队进行持续集成和持续交付。 这些好处包括一致性和规模经济。 当针对合规性检测的一组规范性参考管道用于整个组织中的所有组件时,开发人员将花费更少的时间来开发自动化解决方案,并且可以专注于功能开发。 开发负责人和安全人员可以确信,已经制定了必要的控制措施,以确保安全,合规的软件,并提供可以在审计中使用的证据。 当使用标准实施时,可以简化组织内的安全审计,而不是使用自己的合规实施的每个组件或产品团队。

是否准备好合并 DevSecOps? 查看指导您 使用 DevSecOps 最佳实践部署安全应用程序 的教程系列。 您还可以了解有关 DevSecOps 的优势 和相关 解决方案的更多信息。