DevSecOps(Development, Security, and Operations)是一种软件开发和运维方法论,旨在将安全性(Security)纳入到软件开发和运维过程中,以进步软件体系的安全性和稳固性。 DevSecOps的起源可以追溯到DevOps(Development and Operations)运动。DevOps是一种软件开发和运维的理念和实践,旨在通过加强开发团队和运维团队之间的协作和沟通,实现软件交付的快速、可靠和可持续性。 随着软件开发和运维的不断演进,人们开始意识到安全性在软件生命周期中的重要性。传统上,安全性往往是在软件开发的后期或部署之后才被思量,这大概导致弊端和安全问题的出现。为了解决这个问题,人们开始将安全性纳入到DevOps方法论中,形成了DevSecOps的概念。 DevSecOps的目标是将安全性融入到整个软件开发和运维过程中,使安全性成为开发团队和运维团队的共同责任。它强调在软件开发的早期阶段就思量安全性,通过自动化安全测试、持续监控和相应弊端等步伐,确保软件体系的安全性和稳固性。
可以说DevSecOps的概念和实践是在对DevOps的不断发展和演化过程中徐徐形成的。它代表了对软件安全性的关注和重视,以及对整个软件生命周期中安全性集成的需求。
二、什么是安全即代码(Security as Code)?
通过安全即代码(Security as Code),我们已经并将理解到,对于像我们这样的安全从业者来说,有一种更好的方法来运维和贡献价值,减少阻力。我们知道我们必须敏捷调解我们的方式并促进创新,以确保数据安全和隐私问题(data security and privacy issues)不会因为我们厘革得太慢而落后。
——香农·利茨(Shannon Lietz) www.devsecops.org
这段引述来自DevSecOps范畴的专家香农·利茨(Shannon Lietz),她强调了通过安全即代码(Security as Code)的方法来加速安全从业者的运维速率,减少阻力并促进创新。
以下是对这段引述的一些解释和关键点:
1. 安全即代码(Security as Code):这是一种将安全性纳入软件开发和运维过程中的方法。它借鉴了DevOps中的“根本办法即代码”(Infrastructure as Code)的理念,通过编码和自动化来界说、部署和管理安全控制步伐。安全即代码使安全性成为开发和运维流程的一部门,促使安全团队与开发和运维团队更紧密地合作和协同工作。
