如果有人提問：“在這個時代下，是什么在改變技術生態？”，得到的答案可能是物聯網（IoT），人工智能（AI），機器人技術或一些即將出現的新事物。但對于那些親歷了技術持續迭代的人們來說，下一個新事物并不只是抽象的概念，而是一種可推動著當下的“應用驅動型”全球經濟的方法，它就是DevSecOps（開發，安全和運營的簡稱）。近日，F5亞太地區安全專家Shahnawaz Backer在一篇技術博客中，分享了基于DevSecOps實現安全性的理念。
 
知名調研機構Infoholic Research的研究結果表明，未來幾年內，全球DevSecOps市場有望在亞太地區市場，尤其是中國、新加坡，日本和印度獲得增長，這也反映了DevSecOps平臺與日俱增的關注度。
 
DevSecOps提倡從一開始就將安全性集成到開發工作流程中。換句話說，DevOps將軟件開發和操作融合在一起，將消除孤島當作一種文化，從而可以快速改進并提升性能。
 
“安全性設計”原本被認為是技術提供商經常過度宣傳的概念，也因而屢遭疑議。而在DevSecOps平臺中，安全性從根本上得以實現。
 
DevSecOps在DevOps領域中處于什么位置？
F5認為，DevOps需要一種新的思維模式來擁抱這種軟件開發的新方法。DevSecOps是一種方法論，要求從業者在持續集成和交付（CI/CD）過程中優先考慮安全性。現實情況是，許多開發人員并不是安全專家，反之亦然，許多安全專家也不做開發工作。
 
那么，安全如何得以更好地集成到軟件開發的全生命周期（SDLC）中去呢？F5安全專家指出，在DevOps環境下，應用的開發通常是個快節奏且動態的過程。對于這個問題，還需要借助那些用來幫助組織跟上進度的安全測試工具和最佳實踐。
 
如今，企業面臨的應用程序環境變得越來越復雜，應用程序的更新迭代從每年更新一次，到如今的幾乎每天都在進行更新，節奏被極大地提高了。由于DevSecOps流程并不總是那么簡單，IT部門需要深入研究其通道，以了解信息的類型和隨后可能出現的潛在漏洞，進而獲得成功的衡量標準。
 
DevSecOps要求確保IT安全和應用程序安全成為每個人的職責，從使用的安全測試工具，到讓安全團隊從早期便加入到與客戶的溝通中，都體現出它貫穿全生命周期的要求。
 
安全與速度的挑戰
DevOps從業者在初涉DevSecOps時遇到的另一個問題是速度問題。比如，當部署應用程序安全工具（AST）時，IT團隊通常希望留有充裕的時間用以執行，以確保其可靠性。然而，這對于對速度和敏捷性有要求的組織來說，就會成為一個小缺憾。組織需要考量并盡量減少時間成本帶來的影響。
 
還有一些實際問題，比如，確保工具和技術在容器中的工作狀態達到最佳效果，甚至確保所使用的AST工具不會對容器的可拓展性帶來負面影響。然而，如果AST工具的圖像占用空間很大，或者依賴于必須將數據存儲在容器中，就可能會發生這種情況。但是，AST工具的運行也需要時間，并且它們會降低整個CI/CD通道的速度。
 
有趣的是，CI/CD通道其實從來沒有在概念上將安全性列為首要考慮的性能，而是更多的考慮速度和便利性。隨著DevSecOps概念和方法的引入，開發過程中的每個人都有責任確保安全。然而，這會導致開發速度緩慢，因而，這種方法就被視為創新的攔路虎。其實，只有將安全性放在首位，IT組織才可以避免因安全威脅而造成的損失和損害。
 
最后，F5安全專家提醒，借于DevOps快速迭代的特性，人們應該關注其改進的速度，并將安全性作為一個“必備的特性”。因為時至今日，安全已經不再只是一個“關鍵性能”。在DevOps和DevSecOps充分融合之前，后者將在各種環境下充當臨時分支，以突出安全性在應用程序開發中的作用。