DevSecOps：下一個前沿

嚴(yán)立忠

為滿足不斷提高的管理、審計和合規(guī)要求，同時保持發(fā)展速度，很多團(tuán)隊都將采用DevSecOps。正如IT部門正在進(jìn)行優(yōu)化，在其交付平臺和應(yīng)用程序中置入更多的監(jiān)測功能，他們的安全需求也會隨之優(yōu)化。這意味著開發(fā)人員將發(fā)揮更大的作用，以確保其應(yīng)用程序和所處理數(shù)據(jù)的安全。同樣，安全部門還應(yīng)該更多地與開發(fā)和運營部門協(xié)作，以保證應(yīng)用程序和交付過程的安全。

為了應(yīng)對越來越老練的數(shù)字對手，企業(yè)必須促進(jìn)此前相互獨立的IT部門和安全部門之間更好的協(xié)作，以提升運營安全戰(zhàn)略，獲得業(yè)務(wù)成果；同時還要增強運營保護(hù)、檢測和響應(yīng)能力，降低IT風(fēng)險，減少網(wǎng)絡(luò)安全威脅和欺詐。

自從部署了機器數(shù)字平臺Splunk Enterprise、能夠?qū)崟r監(jiān)測業(yè)務(wù)運營后，互聯(lián)網(wǎng)金融服務(wù)供應(yīng)機構(gòu)——快錢公司可以輕易地追蹤系統(tǒng)的異常情況并加以分析，積極減輕系統(tǒng)問題，可用性大大提高。配合其自行開發(fā)的大數(shù)據(jù)分析系統(tǒng)，該公司可以通過Splunk平臺提升整體安全性，并且加強預(yù)防外來的入侵。其它問題也可以在1至2秒內(nèi)定位，例如交易延遲、系統(tǒng)停機和支付轉(zhuǎn)賬失敗等，達(dá)到“秒級報警”的目標(biāo)。即使是最復(fù)雜的故障排解任務(wù)，也可以在2至3分鐘以內(nèi)完成。

安全將成為構(gòu)建企業(yè)級服務(wù)和應(yīng)用程序的標(biāo)準(zhǔn)要求。不僅開發(fā)人員、發(fā)布管理人員和應(yīng)用程序?qū)＜乙獏⑴c進(jìn)來，運營和安全部門也要參與，而DevOps部門則被要求堅持做好應(yīng)用程序交付工具鏈的管理和審計控制工作。……