開發運維(DevOps)在19%的IT公司中已經在用,另外19%處于試驗階段,還有35%打算在2017年實現開發運維。以上數據源于上周剛舉行了數據中心、基礎設施和運維大會的某大型分析公司的調查結果。明年,將是開發運維跨越鴻溝的一年。
隨著開發運維逐漸成為主流,將安全融入其守則是不可避免的。無論“開發安全運維”這詞兒是否流行,安全必須提升位序以更早進入軟件供應鏈的時代已經到來。
什么是開發運維?
在將安全囊括進開發運維之前,先定義好開發運維或許會有所幫助。難點之一,是每個開發運維項目都是獨特的。暢銷開發運維書《鳳凰計劃》作者之一喬治·斯巴福德曾說過:“讓5個人來定義開發運維,你會得到7種不同答案。”
Gartner對開發運維有個定義,使用了內部術語,對不熟悉敏捷開發方法的人而言不太能理解。定義開發運維存在阻力,因為固定的行業標準可能會有違以最符合公司業務需求的方式實現的目標。
因此,沒有標準定義,反而有助于理解這段公案。敏捷開發是在需要更快創新的壓力下出現的。然而,開發發布速度,受限于基礎設施和運維。因而,開發與運維合作更緊密的壓力就是開發運維的推動力。
作為草根運動,盡管在定義上一直存在爭議,開發運維支持以下幾大原則倒是越來越獲得共識了:
開發運維的存在有助于幫助公司取得成功涵蓋很廣,但焦點在IT基礎是敏捷和精益(協作)文化很重要反饋是創新之源自動化能幫忙最后,開發運維是關于使用協作、敏捷方法解決業務問題或運用信息技術抓住商機的。
開發運維與安全如何交織?
如果公司正運用開發運維,下列6條原則可供用以使安全支持開發運維工作:
1. 開發運維的存在有助于幫助公司取得成功
安全一直享有“說否部門”的美譽,盡管靠策略緩解風險依然是信息安全的一個重要組成部分,業務需求也必須在這些策略中占據同等重要地位,而不是僅僅從安全實踐方面考慮。二者不應是相互敵對的,業務部門必須了解風險,承認風險,同時,在共同協作中,安全部門必須著重考慮如何幫助公司取得競爭優勢。
2. 涵蓋很廣,但焦點落在IT
公司想要在被數字化改變了的世界取勝(想想Uber對出租車行業做了什么),IT就處在這一轉變的中心位置。但它并不是一個人孤零零坐在圓心。與公司其他部門,比如人力資源、財務、運營甚至外部供應商的配合是必需的。信息安全應在風險耐受和公司監管要求之內,持續尋求盡可能無摩擦的相互交流。
3. 基礎是敏捷和精益
理解從豐田制造運營中借用來的敏捷宣言和精益原則,將大大有益于安全人士融進開發運維。安全必須配合各項工作達成持續集成/交付/部署,并提供積極清除軟件供應鏈中各種限制(比如許可等待時間)的方法。
4. 文化很重要
開發運維與之前做法的最大不同,就是對協作的強調。這是一種分享共同目標以有所成的文化思維,也是代表業務而非技術產出的標尺。安全應該融入減少風險的協同努力,而不是表現得像是疏離在外的批評者。
5. 反饋是創新之源
實驗和學習對開發運維很重要,而這些需要足夠的反饋,尤其是來自業務部門的。該反饋需要暴露給每個人,以便能夠做出改善和更大的創新,但這也要求類似“無可非議的解剖”之類的東西來改進系統。安全文化在開發運維中必須避免淪為指責文化。
6. 自動化能幫忙
自動化帶來了更快更便利更高質量的交付。工具是開發運維的力量倍增器,但不是其基礎。自動化不能強化協作,但確實能讓協作更方便。用作測試、認證或監視的安全工具應包含在開發運維工具鏈中,它們的輸出應被廣泛共享以形成提升。
2017是信息安全團隊與開發運維攜手共建,成為業務和其他IT部門更好的合作伙伴的一年。公司企業依賴這種能力來進行更快的創新和保持更低的風險,借此抓住機會,扛住數字化壓力。
京公網安備 11010502049343號