開發(fā)運維(DevOps)在19%的IT公司中已經在用，另外19%處于試驗階段，還有35%打算在2017年實現(xiàn)開發(fā)運維。以上數(shù)據源于上周剛舉行了數(shù)據中心、基礎設施和運維大會的某大型分析公司的調查結果。明年，將是開發(fā)運維跨越鴻溝的一年。

隨著開發(fā)運維逐漸成為主流，將安全融入其守則是不可避免的。無論“開發(fā)安全運維”這詞兒是否流行，安全必須提升位序以更早進入軟件供應鏈的時代已經到來。

什么是開發(fā)運維?

在將安全囊括進開發(fā)運維之前，先定義好開發(fā)運維或許會有所幫助。難點之一，是每個開發(fā)運維項目都是獨特的。暢銷開發(fā)運維書《鳳凰計劃》作者之一喬治·斯巴福德曾說過：“讓5個人來定義開發(fā)運維，你會得到7種不同答案。”

Gartner對開發(fā)運維有個定義，使用了內部術語，對不熟悉敏捷開發(fā)方法的人而言不太能理解。定義開發(fā)運維存在阻力，因為固定的行業(yè)標準可能會有違以***公司業(yè)務需求的方式實現(xiàn)的目標。

因此，沒有標準定義，反而有助于理解這段公案。敏捷開發(fā)是在需要更快創(chuàng)新的壓力下出現(xiàn)的。然而，開發(fā)發(fā)布速度，受限于基礎設施和運維。因而，開發(fā)與運維合作更緊密的壓力就是開發(fā)運維的推動力。

作為草根運動，盡管在定義上一直存在爭議，開發(fā)運維支持以下幾大原則倒是越來越獲得共識了：

• 開發(fā)運維的存在有助于幫助公司取得成功
• 涵蓋很廣，但焦點在IT
• 基礎是敏捷和精益
• (協(xié)作)文化很重要
• 反饋是創(chuàng)新之源
• 自動化能幫忙

***，開發(fā)運維是關于使用協(xié)作、敏捷方法解決業(yè)務問題或運用信息技術抓住商機的。

開發(fā)運維與安全如何交織?

如果公司正運用開發(fā)運維，下列6條原則可供用以使安全支持開發(fā)運維工作：

1. 開發(fā)運維的存在有助于幫助公司取得成功

安全一直享有“說否部門”的美譽，盡管靠策略緩解風險依然是信息安全的一個重要組成部分，業(yè)務需求也必須在這些策略中占據同等重要地位，而不是僅僅從安全實踐方面考慮。二者不應是相互敵對的，業(yè)務部門必須了解風險，承認風險，同時，在共同協(xié)作中，安全部門必須著重考慮如何幫助公司取得競爭優(yōu)勢。

2. 涵蓋很廣，但焦點落在IT

公司想要在被數(shù)字化改變了的世界取勝(想想Uber對出租車行業(yè)做了什么)，IT就處在這一轉變的中心位置。但它并不是一個人孤零零坐在圓心。與公司其他部門，比如人力資源、財務、運營甚至外部供應商的配合是必需的。信息安全應在風險耐受和公司監(jiān)管要求之內，持續(xù)尋求盡可能無摩擦的相互交流。

3. 基礎是敏捷和精益

理解從豐田制造運營中借用來的敏捷宣言和精益原則，將大大有益于安全人士融進開發(fā)運維。安全必須配合各項工作達成持續(xù)集成/交付/部署，并提供積極清除軟件供應鏈中各種限制(比如許可等待時間)的方法。

4. 文化很重要

開發(fā)運維與之前做法的***不同，就是對協(xié)作的強調。這是一種分享共同目標以有所成的文化思維，也是代表業(yè)務而非技術產出的標尺。安全應該融入減少風險的協(xié)同努力，而不是表現(xiàn)得像是疏離在外的批評者。

5. 反饋是創(chuàng)新之源

實驗和學習對開發(fā)運維很重要，而這些需要足夠的反饋，尤其是來自業(yè)務部門的。該反饋需要暴露給每個人，以便能夠做出改善和更大的創(chuàng)新，但這也要求類似“無可非議的解剖”之類的東西來改進系統(tǒng)。安全文化在開發(fā)運維中必須避免淪為指責文化。

6. 自動化能幫忙

自動化帶來了更快更便利更高質量的交付。工具是開發(fā)運維的力量倍增器，但不是其基礎。自動化不能強化協(xié)作，但確實能讓協(xié)作更方便。用作測試、認證或監(jiān)視的安全工具應包含在開發(fā)運維工具鏈中，它們的輸出應被廣泛共享以形成提升。

2017是信息安全團隊與開發(fā)運維攜手共建，成為業(yè)務和其他IT部門更好的合作伙伴的一年。公司企業(yè)依賴這種能力來進行更快的創(chuàng)新和保持更低的風險，借此抓住機會，扛住數(shù)字化壓力。