|
处理,未在信息系统建设开始时实施相关安全活动使安全问题较早解决。安全活动滞后,增加了信息系统安全问题的暴露时间。
安全问题整改成本较高
目前企业的安全人员通常是在系统上线或运行时才开始介入安全活动,安全问题在此阶段被集中发现。由于漏洞多是在上线前一刻或者运行时被发现,安全问题数量往往较多,而且此阶段对安全问题进行整改,需重新安排人力和时间,增加了安全问题的整改成本,影响了信息系统上线进度。
安全活动无重点
企业信息资产较多,安全工具自动化不足或集成程度不高,信息安全人员较多沉浸在资产的日常安全维护中,让信息安全人员处于非常被动状态中。实施安全活动无计划,无重点,不成体系化,而且实施效果不尽人意。
安全人员力不从心
企业专职安全人员非常有限,在安全上的人力投入无法和互联网公司相比,但却又和互联网公司面临一样的安全风险。再加上行业监管要求高,在众多风险面前,往往让安全人员力不从心。
"速度"和风险难以平衡
开发交付团队,甚至管理层过度地强调“速度",随着发布速度和频率不断增加,传统的应用程序安全团队无法跟上发布的步伐,以确保每个发布都是安全的。
为了解决这个问题,企业需要在开发过程中每个阶段持续构建安全性,以便DevOps团队能够快速、高质量地交付安全的应用程序。越早地将安全性引入到工作流中,就能越早地识别和弥补安全性缺陷和漏洞。这个概念是“shiftleft”的一部分,它将安全测试转移给功能测试人员甚至是开发人员,使他们能够几乎实时地修复代码中的安全问题。通过DevSecOps,企业可以将安全性无缝地集成到他们现有的持续集成和持续交付(CI/CD)实践中。
DevOps?
在了解DevSecOps前,让我们先来了解一下DevOps。
DevOps由三个部分组成:组织文化、流程、技术和工具,帮助开发和IT运营团队以一种比传统软件开发过程更快、更敏捷、更迭代的方式构建、测试和发布软件。
根据DevOps手册,“在DevOps的理念中,开发人员会收到关于他们工作的快速、持续的反馈,这使他们能够快速、独立地实现、集成和验证他们的代码,并将代码部署到生产环境中。
简单来说,DevOps就是要消除两个传统的竖井团队(开发和运营)之间的障碍。在DevOps模型中,开发和运营团队在整个软件应用生命周期中共同工作,从开发、测试、部署到运营。
DevSecOps是什么?why?
DevSecOps是Gartner 2012年在一份报告中提出的概念,是应用程序安全(AppSec)领域的一个相对较新的术语。它通过在DevOps活动中扩大开发和操作团队之间的紧密协作,将安全团队也包括进来,从而在软件开发生命周期(SDLC)的早期引入安全。
DevSecOps意味着安全是每个人的共同责任,每个参与SDLC的人都在将安全性构建到DevOps CI/CD的工作中发挥作用。
DevOps关注的是应用交付的速度,而DevSecOps通过尽可能快地交付尽可能安全的应用来提高速度和安全性。
Devops为开发团队带来更快、更好的协作,可以在几天到几周内交付和部署软件,然而快速创新与安全性的冲突,让安全性成为Devops的瓶颈。
DevSecOps(DevOps+Sec=DevSecops)通过在DevOps
(编辑:厦门站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
