開發(fā)運(yùn)維(DevOps)在19%的IT公司中已經(jīng)在用，另外19%處于試驗階段，還有35%打算在2017年實現(xiàn)開發(fā)運(yùn)維。以上數(shù)據(jù)源于上周剛舉行了數(shù)據(jù)中心、基礎(chǔ)設(shè)施和運(yùn)維大會的某大型分析公司的調(diào)查結(jié)果。明年，將是開發(fā)運(yùn)維跨越鴻溝的一年。

隨著開發(fā)運(yùn)維逐漸成為主流，將安全融入其守則是不可避免的。無論“開發(fā)安全運(yùn)維”這詞兒是否流行，安全必須提升位序以更早進(jìn)入軟件供應(yīng)鏈的時代已經(jīng)到來。

什么是開發(fā)運(yùn)維？

在將安全囊括進(jìn)開發(fā)運(yùn)維之前，先定義好開發(fā)運(yùn)維或許會有所幫助。難點(diǎn)之一，是每個開發(fā)運(yùn)維項目都是獨(dú)特的。暢銷開發(fā)運(yùn)維書《鳳凰計劃》作者之一喬治·斯巴福德曾說過：“讓5個人來定義開發(fā)運(yùn)維，你會得到7種不同答案。”

Gartner對開發(fā)運(yùn)維有個定義，使用了內(nèi)部術(shù)語，對不熟悉敏捷開發(fā)方法的人而言不太能理解。定義開發(fā)運(yùn)維存在阻力，因為固定的行業(yè)標(biāo)準(zhǔn)可能會有違以最符合公司業(yè)務(wù)需求的方式實現(xiàn)的目標(biāo)。

因此，沒有標(biāo)準(zhǔn)定義，反而有助于理解這段公案。敏捷開發(fā)是在需要更快創(chuàng)新的壓力下出現(xiàn)的。然而，開發(fā)發(fā)布速度，受限于基礎(chǔ)設(shè)施和運(yùn)維。因而，開發(fā)與運(yùn)維合作更緊密的壓力就是開發(fā)運(yùn)維的推動力。

作為草根運(yùn)動，盡管在定義上一直存在爭議，開發(fā)運(yùn)維支持以下幾大原則倒是越來越獲得共識了：

最后，開發(fā)運(yùn)維是關(guān)于使用協(xié)作、敏捷方法解決業(yè)務(wù)問題或運(yùn)用信息技術(shù)抓住商機(jī)的。

開發(fā)運(yùn)維與安全如何交織？

如果公司正運(yùn)用開發(fā)運(yùn)維，下列6條原則可供用以使安全支持開發(fā)運(yùn)維工作：

1. 開發(fā)運(yùn)維的存在有助于幫助公司取得成功

安全一直享有“說否部門”的美譽(yù)，盡管靠策略緩解風(fēng)險依然是信息安全的一個重要組成部分，業(yè)務(wù)需求也必須在這些策略中占據(jù)同等重要地位，而不是僅僅從安全實踐方面考慮。二者不應(yīng)是相互敵對的，業(yè)務(wù)部門必須了解風(fēng)險，承認(rèn)風(fēng)險，同時，在共同協(xié)作中，安全部門必須著重考慮如何幫助公司取得競爭優(yōu)勢。

2. 涵蓋很廣，但焦點(diǎn)落在IT

公司想要在被數(shù)字化改變了的世界取勝(想想Uber對出租車行業(yè)做了什么)，IT就處在這一轉(zhuǎn)變的中心位置。但它并不是一個人孤零零坐在圓心。與公司其他部門，比如人力資源、財務(wù)、運(yùn)營甚至外部供應(yīng)商的配合是必需的。信息安全應(yīng)在風(fēng)險耐受和公司監(jiān)管要求之內(nèi)，持續(xù)尋求盡可能無摩擦的相互交流。

3. 基礎(chǔ)是敏捷和精益

理解從豐田制造運(yùn)營中借用來的敏捷宣言和精益原則，將大大有益于安全人士融進(jìn)開發(fā)運(yùn)維。安全必須配合各項工作達(dá)成持續(xù)集成/交付/部署，并提供積極清除軟件供應(yīng)鏈中各種限制(比如許可等待時間)的方法。

4. 文化很重要

開發(fā)運(yùn)維與之前做法的最大不同，就是對協(xié)作的強(qiáng)調(diào)。這是一種分享共同目標(biāo)以有所成的文化思維，也是代表業(yè)務(wù)而非技術(shù)產(chǎn)出的標(biāo)尺。安全應(yīng)該融入減少風(fēng)險的協(xié)同努力，而不是表現(xiàn)得像是疏離在外的批評者。

5. 反饋是創(chuàng)新之源

實驗和學(xué)習(xí)對開發(fā)運(yùn)維很重要，而這些需要足夠的反饋，尤其是來自業(yè)務(wù)部門的。該反饋需要暴露給每個人，以便能夠做出改善和更大的創(chuàng)新，但這也要求類似“無可非議的解剖”之類的東西來改進(jìn)系統(tǒng)。安全文化在開發(fā)運(yùn)維中必須避免淪為指責(zé)文化。

6. 自動化能幫忙

自動化帶來了更快更便利更高質(zhì)量的交付。工具是開發(fā)運(yùn)維的力量倍增器，但不是其基礎(chǔ)。自動化不能強(qiáng)化協(xié)作，但確實能讓協(xié)作更方便。用作測試、認(rèn)證或監(jiān)視的安全工具應(yīng)包含在開發(fā)運(yùn)維工具鏈中，它們的輸出應(yīng)被廣泛共享以形成提升。

2017是信息安全團(tuán)隊與開發(fā)運(yùn)維攜手共建，成為業(yè)務(wù)和其他IT部門更好的合作伙伴的一年。公司企業(yè)依賴這種能力來進(jìn)行更快的創(chuàng)新和保持更低的風(fēng)險，借此抓住機(jī)會，扛住數(shù)字化壓力。