安全團隊需要了解DevOps

引言： 有不少IT企業已經在利用或準備利用DevOps。隨著DevOps成為主流，將安全問題納入其范圍就成為不可避免的選擇。不管“開發安全運維（DevSecOps）”是否成為一個熱詞，安全及早地進入軟件供應鏈都將是大勢所趨。

什么是DevOps

雖然關于DevOps的定義還存在諸多爭論，但是大家日益認同如下大原則：DevOps的存在是為了企業在競爭中獲勝；根本問題是敏捷和精益；（協作性）文化非常重要；反饋是創新的激勵因素；自動化可起到幫助作用；DevOps可謂是一種能夠解決企業問題的要求協作性的敏捷方法，或者是一種要求協作精神和能力的幫助企業用信息技術來獲得業務機會的敏捷方法。

敏捷開發是由于企業要求更快創新的壓力而產生的。開發速度可以如同基礎架構和運維所允許的速度一樣快。因而，要求開發和運維更加緊密地協作的壓力就是實施DevOps的推動力。

DevOps如何與安全性交織在一起？

各單位可以利用六原則來使安全支持其全部努力：

DevOps的存在是為了企業在競爭中獲勝。雖然通過策略減輕風險仍是信息安全的重要組成部分，但企業需求對于這些策略來說也同樣重要。企業必須和諧地明確和理解風險，同時，在協作中，安全部門和人員還要首先考慮如何使企業立于不敗之地。

DevOps范圍很廣，但以IT為中心。在這個被數字化改變的世界中，IT位于變革的中心。但是IT并不是孤立的。公司的付出與人力資源、財務、運維甚至外部的供應商的結盟都是必要的。信息安全應當在企業的風險容忍度和合規要求的范圍之內持續地努力減少其相互影響。

根本問題在于敏捷和精益。理解敏捷和精益原則可以極大地有利于幫助安全專家加入DevOps。安全必須努力地持續集成、交付和部署，并且減少軟件供應鏈中的限制（如等待許可的時間）。

文化很重要。DevOps的關鍵要素之一就是協作。這是一種分享共同目標的文化思想，它代表企業而不是技術產品。安全必須強調協作努力從而減輕風險而不是游離在外的批評家。

反饋是創新的激勵因素。實驗和學習對于DevOps很重要，而這些要求充分的反饋，尤其是來自企業的反饋。這種反饋需要傳達到每個人，由此才能進行重大改進和創新，但是它要求進行事后的討論才能有所提高。企業必須避免安全文化成為DevOps中的一種責備文化。

自動化可起到幫助作用。自動化可以使交付更快和持續性更強，且質量更高。

工具可以極大地促進DevOps，但工具并不是基礎。自動化并不強制協作性，但可使協作更容易。用于測試、認證、監視的安全工具應當包含在DevOps的工具鏈中，但是，為了更好地提高，其完成的結果應當廣泛地共享。