安全團隊需要了解DevOps

引言： 有不少IT企業已經在利用或準備利用DevOps。隨著DevOps成為主流，將安全問題納入其范圍就成為不可避免的選擇。不管“開發安全運維（DevSecOps）”是否成為一個熱詞，安全及早地進入軟件供應鏈都將是大勢所趨。

什么是DevOps

雖然關于DevOps的定義還存在諸多爭論，但是大家日益認同如下大原則：DevOps的存在是為了企業在競爭中獲勝；根本問題是敏捷和精益；（協作性）文化非常重要；反饋是創新的激勵因素；自動化可起到幫助作用；DevOps可謂是一種能夠解決企業問題的要求協作性的敏捷方法，或者是一種要求協作精神和能力的幫助企業用信息技術來獲得業務機會的敏捷方法。

敏捷開發是由于企業要求更快創新的壓力而產生的。開發速度可以如同基礎架構和運維所允許的速度一樣快。因而，要求開發和運維更加緊密地協作的壓力就是實施DevOps的推動力。

DevOps如何與安全性交織在一起？

各單位可以利用六原則來使安全支持其全部努力：

DevOps的存在是為了企業在競爭中獲勝。雖然通過策略減輕風險仍是信息安全的重要組成部分，但企業需求對于這些策略來說也同樣重要。企業必須和諧地明確和理解風險，同時，在協作中，安全部門和人員還要首先考慮如何使企業立于不敗之地。

DevOps范圍很廣，但以IT為中心。在這個被數字化改變的世界中，IT位于變革的中心。但是IT并不是孤立的。公司的付出與人力資源、財務、運維甚至外部的供應商的結盟都是必要的。信息安全應當在企業的風險容忍度和合規要求的范圍之內持續地努力減少其相互影響。……