?譯者 | 李睿

審校 | 孫淑娟

新冠疫情如今以驚人的速度加速了數(shù)字化轉(zhuǎn)型。對大多數(shù)企業(yè)來說，數(shù)字化也帶來了相當(dāng)大的挑戰(zhàn)。為了確保獲得成功，企業(yè)需要正確的人員、正確的工具和正確的技能集的組合。

然而，數(shù)字化轉(zhuǎn)型帶來了新的領(lǐng)域，如數(shù)據(jù)庫、數(shù)字資產(chǎn)、云計算服務(wù)、應(yīng)用程序和網(wǎng)站，從而增加了對企業(yè)安全的需求。因此，至關(guān)重要的是以DevSecOps的形式部署一個完整的安全方法，以避免出現(xiàn)安全漏洞，保護企業(yè)的商譽，并維護客戶的關(guān)系。

根據(jù)研究機構(gòu)Statista公司的調(diào)查，47%的企業(yè)現(xiàn)在正在利用DevOps或DevSecOps方法進行軟件開發(fā)過程。這種做法旨在及時交付，同時確保高軟件質(zhì)量和縮短開發(fā)周期。企業(yè)選擇DevOps或DevSecOps方法進行軟件開發(fā)的原因是更快的上市時間、代碼質(zhì)量、安全性以及開發(fā)人員之間更好的協(xié)作。

1、什么是DevSecOps?  

DevSecOps對于那些需要立即采用安全性并提高生產(chǎn)力水平的企業(yè)來說是一個極好的解決方案。DevSecOps被定位為開發(fā)過程中的頂級安全控制之一，它在產(chǎn)品開發(fā)生命周期階段的每個級別上運行。如果實施得當(dāng)，DevSecOps可以培訓(xùn)員工，自動化安全檢查，并確保開發(fā)出優(yōu)秀的產(chǎn)品。

DevSecOps是安全保護和測試的無縫集成，從軟件開發(fā)到部署階段都是如此。目標(biāo)是在生產(chǎn)前和生產(chǎn)后環(huán)境中將安全性納入持續(xù)集成（CI）/持續(xù)交付（CD）的工作流程。

2、DevOps和DevSecOps有什么區(qū)別?  

為了加速軟件產(chǎn)品的開發(fā)和交付，現(xiàn)代軟件開發(fā)過程使用了敏捷的軟件開發(fā)生命周期(SDLC)過程。DevOps和DevSecOps將敏捷框架用于各種目的。DevOps主要關(guān)注應(yīng)用程序交付的速度，而DevSecOps也關(guān)注速度，但要確保部署的應(yīng)用程序的完全安全。DevSecOps的目標(biāo)是用安全的代碼庫促進更快的開發(fā)過程。

DevSecOps致力于在軟件開發(fā)生命周期階段的每個級別集成安全性。在DevSecOps中，安全是利益相關(guān)者在DevOps價值鏈中的共同責(zé)任。簡而言之，DevOps專注于速度，而DevSecOps在不犧牲安全性的情況下保持速度。

3、DevSecOps是如何工作的?  

通過將自動安全檢查集成到軟件開發(fā)管道中，企業(yè)可以在應(yīng)用程序與實際用戶進行測試之前，驗證其應(yīng)用程序基礎(chǔ)設(shè)施和應(yīng)用程序本身的安全性。這些類型的安全檢查能夠以容器掃描、代碼分析、基礎(chǔ)設(shè)施配置驗證和同行評審的形式出現(xiàn)。

開發(fā)人員可以直接識別之前在持續(xù)集成（CI）/持續(xù)交付（CD）工作流中建立的問題并修復(fù)它們，而不是在所有工作完成后等待安全審計處理。這有助于將安全衛(wèi)生嵌入到企業(yè)的數(shù)字文化中，從而提高安全級別，同時減少故障范圍。各種軟件開發(fā)商現(xiàn)在都在提供DevOps服務(wù)，照顧客戶端到端DevOps需求，以確保部署出健壯的產(chǎn)品。

4、DevSecOps如何幫助彌合安全漏洞?  

在軟件開發(fā)生命周期中采用DevSecOps可以統(tǒng)一開發(fā)過程安全和整個操作。以下了解DevSecOps是如何為企業(yè)帶來好處的，以及如何彌合安全差距。

1）更快的產(chǎn)品交付

安全問題經(jīng)常使開發(fā)人員在耗時的錯誤修復(fù)過程中陷入困境。通過采用DevSecOps，事情變得更容易了，因為開發(fā)人員現(xiàn)在可以很容易地解決錯誤和故障。因此，DevSecOps消除或最小化了這種瓶頸，并簡化了特定產(chǎn)品開發(fā)過程的安全性。

2）增加漏洞修補和代碼覆蓋率

通過利用自動化流程，DevSecOps通過更廣泛和增加的代碼覆蓋率和漏洞補丁提高了整體安全性。通過這樣做，它可以更快地分析和解決安全漏洞。

3）主動和臨時安全保護

DevSecOps在整個軟件開發(fā)生命周期和交付階段灌輸最佳的網(wǎng)絡(luò)安全實踐。通過將審計、代碼審查、質(zhì)量保證測試和安全漏洞掃描進行通道化，可以在精益過程中檢測和處理問題。有了DevSecOps，修復(fù)漏洞變得更容易、更劃算。

4）構(gòu)建自適應(yīng)安全流程

DevSecOps鼓勵一種工作文化，在整個產(chǎn)品開發(fā)生命周期環(huán)境中不斷應(yīng)用安全性。DevSecOps作為一個過程，能夠轉(zhuǎn)換和適應(yīng)新的需求。

5、采用DevSecOps的優(yōu)點

隨著動態(tài)應(yīng)用程序、靈活的云計算、共享存儲、數(shù)據(jù)分析和集裝箱化等現(xiàn)代技術(shù)的發(fā)展，企業(yè)在過去幾年中看到了IT完整性的巨大變化。DevSecOps能夠提升關(guān)鍵任務(wù)應(yīng)用程序的速度、性能和功能，將其擴展到成功的新高度。

然而，由于缺乏可靠的安全性和合規(guī)性，這些應(yīng)用程序是最近才部署的。這就是DevSecOps發(fā)揮作用的地方。DevSecOps確保所有安全措施都到位，在開發(fā)過程中不會將惡意軟件注入到應(yīng)用程序中。以下是在企業(yè)的數(shù)字化轉(zhuǎn)型項目中采用DevSecOps的一些優(yōu)點：

• 持續(xù)的安全檢查和監(jiān)控。
• 降低合規(guī)性成本。
• 更快地部署應(yīng)用程序。
• 提高項目從頭到尾的透明度。
• 在發(fā)生意外的安全漏洞時，恢復(fù)時間更快。
• 全程自動化安全。

6、結(jié)語  

在數(shù)字化轉(zhuǎn)型時代，企業(yè)的目標(biāo)都是為客戶提供不受安全威脅和黑客攻擊的最佳產(chǎn)品。DevSecOps是一種具有成本效益和前瞻性的技術(shù)。DevSecOps的采用可以幫助開發(fā)人員在一種已經(jīng)建立的環(huán)境中采用最佳的安全預(yù)防措施，在這種環(huán)境中，在開發(fā)之初就開始關(guān)注安全性。

將DevOps和安全性集成到軟件開發(fā)生命周期中不僅使產(chǎn)品更加安全，還為其提供了競爭優(yōu)勢。與當(dāng)今最好的DevSecOps服務(wù)提供商合作，他們可以有效地優(yōu)化企業(yè)的開發(fā)過程，并幫助企業(yè)實現(xiàn)最佳的業(yè)務(wù)結(jié)果。

由于這種方法具有的優(yōu)點，各種規(guī)模的企業(yè)都在采用。現(xiàn)在每個組織都意識到了它的重要性。由于采用DevSecOps，為企業(yè)提供了最大的安全性。因為他們都知道網(wǎng)絡(luò)威脅正在日益增加，這是采用它的最好方法。

原文鏈接：https://dzone.com/articles/devsecops-and-digital-transformation-bridging-the