如何實(shí)施DevSecOps

時(shí)間：2022-03-06 17:46:02 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-06 17:46:02 來源：行業(yè)動(dòng)態(tài)

可以想見，DevSecOps的實(shí)施將是一個(gè)復(fù)雜的流程。我們現(xiàn)在將這個(gè)流程拆解成以下幾個(gè)具體步驟，雖然還沒有任何具體的、連續(xù)的路線圖式步驟設(shè)計(jì)，但其中大多涵蓋以下環(huán)節(jié)。

首先，一切以規(guī)劃為起點(diǎn)。規(guī)劃的戰(zhàn)略水平與簡(jiǎn)潔程度將直接決定最終實(shí)施結(jié)果。因此，單靠對(duì)功能特性的描述還遠(yuǎn)遠(yuǎn)不夠，專家們還需要建立起測(cè)試驗(yàn)收標(biāo)準(zhǔn)、用戶設(shè)計(jì)以及威脅模型。下一階段則是開發(fā)環(huán)節(jié)，團(tuán)隊(duì)?wèi)?yīng)首先對(duì)現(xiàn)有實(shí)踐的成熟度開展評(píng)估。在此階段，大家可以通過多個(gè)來源收集資源以作為路線指導(dǎo)，也可以建立起代碼審查系統(tǒng)。由此支撐起的統(tǒng)一架構(gòu)，將成為DevSecOps后期成功的重要基礎(chǔ)。

之后則是構(gòu)建環(huán)節(jié)，自動(dòng)化構(gòu)建工具無疑是這一階段中絕對(duì)的主角。利用此類工具，我們可以構(gòu)建腳本、將源代碼組合為機(jī)器碼等。自動(dòng)化構(gòu)建工具不僅提供多種強(qiáng)大的功能、豐富的插件庫，還具備多種易于上手的用戶界面，其中一部分甚至能夠自動(dòng)檢測(cè)易受攻擊的庫并及時(shí)加以替換。下一步則是測(cè)試，通過穩(wěn)定可靠的測(cè)試實(shí)踐將強(qiáng)大的自動(dòng)化測(cè)試框架全面引入管道當(dāng)中。部署工作通常通過IaC工具進(jìn)行，由其自動(dòng)執(zhí)行流程并加快軟件交付速度。

作為另一大關(guān)鍵步驟，運(yùn)營維護(hù)無疑是運(yùn)營團(tuán)隊(duì)的一項(xiàng)常規(guī)職能?？紤]到零日漏洞可能引發(fā)的巨大威脅，運(yùn)營團(tuán)隊(duì)必須給予關(guān)注；此外，運(yùn)營團(tuán)隊(duì)還需要重視人為錯(cuò)誤蔓延，包括使用DevSecOps通過IaC工具快速高效地保護(hù)企業(yè)自有基礎(chǔ)設(shè)施。流程中的另一項(xiàng)重要因素，在于使用強(qiáng)大且持續(xù)性的監(jiān)控工具，借此保證安全系統(tǒng)能夠按預(yù)期形式運(yùn)行。

規(guī)模擴(kuò)展同樣不容忽視。虛擬化技術(shù)的出現(xiàn)，意味著企業(yè)不再需要浪費(fèi)資源來維護(hù)大型數(shù)據(jù)中心。相反，一旦發(fā)生任何威脅，企業(yè)也可以直接擴(kuò)展IT基礎(chǔ)設(shè)施規(guī)模以消化突發(fā)沖擊。

以上只是DevSecOps實(shí)施中的一些基礎(chǔ)步驟。根據(jù)項(xiàng)目的具體規(guī)模與復(fù)雜性，路線圖可能還需要涵蓋另外一些特定附加步驟。