為什么需要DevSecOps？

時間：2022-04-25 16:39:01 | 來源：行業(yè)動態(tài)

時間：2022-04-25 16:39:01 來源：行業(yè)動態(tài)

DevSecOps與DevOps的差別是前者比后者多了Sec（Security）上。實際上，這兩者之間的差別也正是體現(xiàn)在安全上。簡單地說，把Security納入到DevOps的體系之中，人人都是安全員，這就是DevSecOps。

眾所周知，DevOps顛覆了傳統(tǒng)的瀑布流模式，它破除了開發(fā)和運維之間的障礙，讓兩者順利進行溝通、協(xié)作與整合，再通過自動化和持續(xù)迭代、持續(xù)集成的敏捷，實現(xiàn)了軟件的快速迭代和交付。但這個流程其實和安全關(guān)系不大，基本不涉及軟件的安全，或者說，軟件的安全性評估還是按照傳統(tǒng)的流程，處于軟件交付的最后階段。這就導致軟件安全檢查和評估要么被忽略（因為交付時間的壓力），或者軟件被迫延期交付，使得DevOps的效果大打折扣。

根據(jù)DevSecOps 社區(qū)發(fā)布的調(diào)研報告，雖然都認為安全很重要，但是連續(xù)3年接近一半的開發(fā)者承認他們基本沒有時間去處理安全問題。另一方面，相對運維人員的不足，安全人員在開發(fā)團隊中更為稀缺。

DevSecOps 的目的就是要設(shè)法改變這一現(xiàn)狀。DevSecOps通過在 DevOps 流程的每個階段或檢查點嵌入安全性檢查來消除 DevOps 和安全之間的障礙，從而更快、更安全地生成高質(zhì)量的代碼。DevSecOps是在軟件開發(fā)生命周期（SDLC）的早期引入安全性，目標是讓參與SDLC的每個人負責安全來開發(fā)更安全的應(yīng)用程序，讓業(yè)務(wù)、技術(shù)和安全協(xié)同工作以開發(fā)出更安全的軟件。

DevSecOps的好處是在提高軟件安全性的同時提高開發(fā)團隊的開發(fā)效率，縮短交付時間，讓產(chǎn)品盡快上市。比如，由于DevSecOps將安全納入到最初的開發(fā)流程中，而不是等到最后到進行安全檢查之前，同時，安全專家不必等待開發(fā)周期徹底完成，這兩大因素進一步加快了產(chǎn)品交付速度。

其次，因為DevSecOps讓人人都是安全員，在軟件開發(fā)的早期就把漏洞發(fā)現(xiàn)納入到開發(fā)流程中來，借此降低修復的難度和成本，而且，就從商業(yè)角度來看，軟件安全性越好對后面的市場營銷越有利，從而提升軟件盈利能力。另一方面，DevSecOps由于將開發(fā)、運維和安全團隊聚集一起來處理安全問題，培養(yǎng)的這種跨團隊協(xié)作精神非常有助于產(chǎn)生出更快速有效的安全響應(yīng)策略，有利于構(gòu)建起更強大的安全設(shè)計模式。