打破 Dev、Sec 和 Ops 之间的壁垒

作为路线图的步骤使组织能够成功实施DevSecOps并从一开始就创建安全软件。

DevSecOps，通俗地说，是软件开发、安全和软件运营的组合形式。根据Gartner的研究，“预计到2022年，至少95%的云安全故障将是企业的过错”。因此，在开发任何应用程序时，开发人员都不能有遗漏，以免企业容易受到此类攻击。同样，DevSecOps正在理解软件并学习编码，同时学习操作和维护该代码。必须记住，一次安全漏洞可能导致客户对任何业务失去信心。因此，优先维护严格的安全措施至关重要。

DevSecOps涉及将安全性集成到应用程序开发和操作中，以及促进团队之间的协作并利用自动化和工具来构建健壮和安全的应用程序。在DevSecOps方法中，安全性是在开发过程中主动解决的，而不是事后才考虑的。将安全测试和错误修复集成到开发周期中，以在软件开发生命周期的早期检测安全漏洞.这种方法促进了创新，提高了开发人员的速度，并允许快速发布周期，同时保持对安全性的关注。DevSecOps已被证明有利于实现更快的开发、更快速的功能发布和敏捷实践的实施。通过从一开始就将安全性集成到开发过程中，DevSecOps有助于降低安全漏洞和其他网络安全威胁的风险，这些威胁可能会给组织带来声誉、法律责任和财务损失方面的代价。

DevSecOps还有助于促进团队之间的协作和沟通文化，从而更好地协调安全和开发目标。它还可以帮助组织满足合规性要求，因为安全性从一开始就集成到开发过程中。总的来说，DevSecOps对于任何想要构建安全、可靠和高质量的软件产品以满足客户需求同时最大限度地降低安全风险的组织来说都是必不可少的。

尽管企业在采用现代业务实践方面取得了进展，例如过渡到云提供商和利用敏捷框架，但DevSecOps在组织优先级方面经常被利益相关者忽视。通常缺乏高管可以轻松支持的DevSecOps计划的清晰框架。Gartner预测，到2022年，由于组织学习和实施变革的困难，75%的DevOps计划将无法达到预期。

采用DevSecOps

企业实施DevSecOps的过程是一项跨越多年的长期事业，尽早启动对组织的长期利益是有利的。虽然有大量资源可用于提高对DevOps及其好处的认识，但有关DevSecOps和组织可以用来将DevSecOps顺利集成到其运营中的综合框架的可用信息相对较少。

以下是开始DevSecOps之旅时要牢记的一些关键步骤。

1.我们需要DevSecOps吗？

开始DevSecOps之旅的第一步是全面了解DevSecOps的含义及其必要性。一旦建立了这种理解，重点就应该转移到评估谁将从采用DevSecOps中受益以及如何受益。这将需要对业务用例、可用资源和组织当前的痛点进行全面评估。在此阶段，必须对任何现有的技术债务、缺陷和错误保持透明，因为这将有助于确定需要改进的领域和查明缺陷根本原因的机会。该过程将能够识别当前应用程序和流程中的差距，并提供洞察力来评估可用的机会。

2.我们如何推广/拥护它？

后续步骤涉及确定一组与组织内的DevSecOps使命保持一致并致力于此的大使或拥护者。这提供了一个机会，可以招募可以带来新鲜观点的热情人士。应该利用多种渠道来促进整个组织的机会，以吸引不同的个人群体，包括工程师、操作人员、安全专家、测试人员和管理人员。理想的候选人应该有积极性、渴望学习、适应不确定性和善于团队合作。该团队将协助实现DevSecOps使命并倡导这项事业，促进整个企业更广泛地采用DevSecOps。

3.DevSecOps战略

要通过DevSecOps实施组织范围内的变革，制定DevSecOps战略至关重要。这涉及向所有相关人员灌输“安全第一”的心态，并从一开始就纳入安全最佳实践。在制定战略时，重要的是要考虑优先事项、时间和资源成本，并确保努力在时间范围内成功实施。该策略用于确定作为DevSecOps采用的一部分需要实现的目标。

4.领导支持

领导层和高管在促进和接受DevSecOps方面负有重大责任，获得他们的支持对于确保没有其他业务目标或关键结果阻碍在组织中采用DevSecOps至关重要。在这里，您向领导层介绍DevSecOps战略，并告知他们初始设置成本（时间、金钱和资源）。同时，这是一个让他们了解长期利益及其对组织的影响的机会。

五、实施阶段

真正的工作从执行阶段开始，时间至关重要。从小处着手、收集反馈和迭代至关重要。在此阶段，应评估可用工具以帮助加快采用过程。

6.成功标准和衡量标准

反馈是人生成长的一个重要方面，从童年开始，我们从父母那里得到持续的反馈，帮助我们学习和提高我们的技能。同样，在DevSecOps环境中，必须有一个系统来提供持续反馈以促进持续改进。警报、仪表板和通过警报进行监控等工具可以帮助审核应用程序并主动检测问题。此外，建立持续的反馈机制，例如季度敏捷回顾或员工调查以提供反馈。必须有适当的治理和护栏来衡量DevSecOps采用的成功与否。

上述步骤可作为路线图，使组织能够从一开始就成功实施DevSecOps并创建安全软件。在DevSecOps中进行的短期投资可以产生长期收益，例如能够向客户发布更好、更快和更安全的产品。持续的反馈机制可以促进持续的改进和迭代。通过利用DecSecOps，组织可以避免与之相关的常见陷阱，并确保DevSecOps的集成代表其开发过程中的文化转变，而不是一次性的努力。

举报/反馈