軟件領(lǐng)導(dǎo)者如今都非常熟悉“移動球門柱”的這一理念,而業(yè)務(wù)部門通常要求他們更快地提供新功能,并且當(dāng)這樣做時,這些功能必須能夠跨平臺兼容。
其目標(biāo)再次改變:希望要快速獲得高質(zhì)量的軟件,并且沒有更多的漏洞,符合數(shù)據(jù)隱私法規(guī),并且能夠滿足企業(yè)響應(yīng)市場的新要求。
DevSecOps的誕生就是為了滿足這些要求,其目標(biāo)是將軟件開發(fā)、運營和安全整合到一個協(xié)作系統(tǒng)中。所有的利益相關(guān)者在該系統(tǒng)中共同努力,在軟件開發(fā)和部署之前主動解決安全問題。
當(dāng)然,實現(xiàn)目標(biāo)說起來容易做起來難。以下概述的四項原則是從將這些想法付諸實踐的經(jīng)驗中得出的。
1.定義有意義的指標(biāo),讓團隊保持一致
DevSecOps所代表的三個功能受到不同的激勵。開發(fā)團隊的衡量標(biāo)準(zhǔn)是在加速開發(fā)的同時提供新功能的能力。Ops團隊是根據(jù)支持應(yīng)用程序組合的基礎(chǔ)設(shè)施的性能和可用性來判斷的。雖然DevOps以提高效率的名義統(tǒng)一開發(fā)和運營這兩個領(lǐng)域,但安全性往往是事后才考慮的問題。這導(dǎo)致應(yīng)用程序不安全,流程陷入困境。
通過應(yīng)用諸如目標(biāo)和關(guān)鍵結(jié)果(OKR)等普遍理解的框架,使DevSecOps實踐與業(yè)務(wù)目標(biāo)保持一致至關(guān)重要。這樣的框架有助于建立所有利益相關(guān)者都認同的基于目標(biāo)的結(jié)果的基線。它還可以幫助團隊定義一組共享的指標(biāo)并確定其優(yōu)先級,這些指標(biāo)可以作為統(tǒng)一的事實來源。例如,其中一個目標(biāo)可能是增加發(fā)布到生產(chǎn)環(huán)境的數(shù)量,其潛在的結(jié)果是將檢測故障的平均時間從兩小時減少到20分鐘。
2.將安全性納入開發(fā)過程
如果在過去幾年教會了人們什么的話,那就是安全漏洞可以在開發(fā)生命周期的任何時候引入應(yīng)用程序。很多企業(yè)采用零碎的工具和人員配置方法來解決關(guān)鍵問題,但最終仍會留下漏洞。
當(dāng)安全性沒有觸及開發(fā)過程的每個部分時,就會出現(xiàn)漏洞。成熟的DevSecOps實踐試圖通過將安全性納入到DevOps的所有階段來解決這些問題,將安全性轉(zhuǎn)移到包括預(yù)生產(chǎn)一直到生產(chǎn)和發(fā)布新軟件功能或更新的整個過程。
將安全性納入開發(fā)過程意味著安全成為每個團隊成員的責(zé)任,在軟件開發(fā)管道的每個階段,從首席信息官到應(yīng)用程序架構(gòu)師、開發(fā)人員和站點可靠性工程師(SRE)。零信任安全和設(shè)計安全等概念需要成為一種強制性的設(shè)計原則,而不是錦上添花的選擇。
3.整體思考、反復(fù)行動、適當(dāng)自動化
現(xiàn)代軟件越來越多地是組裝而不是開發(fā)。調(diào)研機構(gòu)Gartner公司估計,開發(fā)人員編寫的實際代碼量不到最終應(yīng)用程序的10%。因此,成熟的DevSecOps實踐必須不斷考慮各個部分的總和,以免陷入sprint周期的細節(jié)中。
因此,雖然為了簡化、可重復(fù)性和速度而進行的自動化是將安全性左移的關(guān)鍵,但要警惕自動化面臨的問題。通過可重復(fù)的配置和變更管理標(biāo)準(zhǔn)化技術(shù)和流程之后,盡可能實現(xiàn)自動化。
人們經(jīng)??吹紻evSecOps團隊致力于自動化更改過于頻繁或尚未標(biāo)準(zhǔn)化的流程。這會導(dǎo)致維護噩夢,團隊成員花費更多時間跟蹤和修復(fù)問題,而不是從自動化中獲益。
4.培養(yǎng)問責(zé)文化
每個成熟的DevSecOps的核心是一種有意識的文化,它促進協(xié)作并鼓勵共同承擔(dān)責(zé)任。但是當(dāng)每個人都有責(zé)任時,真的會有人負責(zé)嗎?也許更重要的是:如何讓技能、個性和動機截然不同的人員有效地合作?
成熟的DevSecOps文化更多的是關(guān)于人員和文化,而不是人們用來完成工作的工具。
問責(zé)制文化的特點是通過行動形成的指導(dǎo)原則分擔(dān)責(zé)任。創(chuàng)造這種文化的首席信息官使企業(yè)的員工能夠接受行為變化。換句話說,它從頂部開始,但從底部向上滲透。分享經(jīng)驗教訓(xùn)和樹立自我意識是首席信息官“成為變革者”,并發(fā)展他們正在努力培養(yǎng)的問責(zé)文化的方式。
毫無疑問,軟件將繼續(xù)滿足企業(yè)的需求。但是,只有當(dāng)所有利益相關(guān)者都從同一個菜單中訂購時,現(xiàn)代軟件的需求才會得到滿足。成熟的DevSecOps實踐將使首席信息官能夠?qū)⑺麄兊膽?zhàn)略從反應(yīng)轉(zhuǎn)變?yōu)閺椥?,并使他們能夠提供變革業(yè)務(wù)的創(chuàng)新。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號