軟件領導者如今都非常熟悉“移動球門柱”的這一理念，而業務部門通常要求他們更快地提供新功能，并且當這樣做時，這些功能必須能夠跨平臺兼容。

 

其目標再次改變：希望要快速獲得高質量的軟件，并且沒有更多的漏洞，符合數據隱私法規，并且能夠滿足企業響應市場的新要求。

 

DevSecOps的誕生就是為了滿足這些要求，其目標是將軟件開發、運營和安全整合到一個協作系統中。所有的利益相關者在該系統中共同努力，在軟件開發和部署之前主動解決安全問題。

 

當然，實現目標說起來容易做起來難。以下概述的四項原則是從將這些想法付諸實踐的經驗中得出的。

 

 

DevSecOps所代表的三個功能受到不同的激勵。開發團隊的衡量標準是在加速開發的同時提供新功能的能力。Ops團隊是根據支持應用程序組合的基礎設施的性能和可用性來判斷的。雖然DevOps以提高效率的名義統一開發和運營這兩個領域，但安全性往往是事后才考慮的問題。這導致應用程序不安全，流程陷入困境。

 

通過應用諸如目標和關鍵結果(OKR)等普遍理解的框架，使DevSecOps實踐與業務目標保持一致至關重要。這樣的框架有助于建立所有利益相關者都認同的基于目標的結果的基線。它還可以幫助團隊定義一組共享的指標并確定其優先級，這些指標可以作為統一的事實來源。例如，其中一個目標可能是增加發布到生產環境的數量，其潛在的結果是將檢測故障的平均時間從兩小時減少到20分鐘。

 

 

如果在過去幾年教會了人們什么的話，那就是安全漏洞可以在開發生命周期的任何時候引入應用程序。很多企業采用零碎的工具和人員配置方法來解決關鍵問題，但最終仍會留下漏洞。

 

當安全性沒有觸及開發過程的每個部分時，就會出現漏洞。成熟的DevSecOps實踐試圖通過將安全性納入到DevOps的所有階段來解決這些問題，將安全性轉移到包括預生產一直到生產和發布新軟件功能或更新的整個過程。

 

將安全性納入開發過程意味著安全成為每個團隊成員的責任，在軟件開發管道的每個階段，從首席信息官到應用程序架構師、開發人員和站點可靠性工程師(SRE)。零信任安全和設計安全等概念需要成為一種強制性的設計原則，而不是錦上添花的選擇。

 

 

現代軟件越來越多地是組裝而不是開發。調研機構Gartner公司估計，開發人員編寫的實際代碼量不到最終應用程序的10%。因此，成熟的DevSecOps實踐必須不斷考慮各個部分的總和，以免陷入sprint周期的細節中。

 

因此，雖然為了簡化、可重復性和速度而進行的自動化是將安全性左移的關鍵，但要警惕自動化面臨的問題。通過可重復的配置和變更管理標準化技術和流程之后，盡可能實現自動化。

 

人們經常看到DevSecOps團隊致力于自動化更改過于頻繁或尚未標準化的流程。這會導致維護噩夢，團隊成員花費更多時間跟蹤和修復問題，而不是從自動化中獲益。

 

 

每個成熟的DevSecOps的核心是一種有意識的文化，它促進協作并鼓勵共同承擔責任。但是當每個人都有責任時，真的會有人負責嗎?也許更重要的是：如何讓技能、個性和動機截然不同的人員有效地合作?

 

成熟的DevSecOps文化更多的是關于人員和文化，而不是人們用來完成工作的工具。

 

問責制文化的特點是通過行動形成的指導原則分擔責任。創造這種文化的首席信息官使企業的員工能夠接受行為變化。換句話說，它從頂部開始，但從底部向上滲透。分享經驗教訓和樹立自我意識是首席信息官“成為變革者”，并發展他們正在努力培養的問責文化的方式。

 

毫無疑問，軟件將繼續滿足企業的需求。但是，只有當所有利益相關者都從同一個菜單中訂購時，現代軟件的需求才會得到滿足。成熟的DevSecOps實踐將使首席信息官能夠將他們的戰略從反應轉變為彈性，并使他們能夠提供變革業務的創新。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。