了解 DevSecOps
虽然采用云计算正在增加,以支持业务生产力,但缺乏安全基础结构可能会无意中泄露数据。
2018 Microsoft 安全智能报告发现:
- 数据未由以下项同时在静态和传输中进行加密:
- 7% 的服务型软件 (SaaS) 存储应用。
- 86% 的 SaaS 协作应用。
- 只有以下应用支持 HTTP 标头会话保护:
- 4% 的 SaaS 存储应用。
- 3% 的 SaaS 协作应用。
安全 DevOps (或 DevSecOps)
DevOps 是关于更快地工作。 安全性 强调彻底性。 安全问题通常在周期结束时解决。 可能会在管道结束时产生计划外工作。 Secure DevOps 将 DevOps 与安全性集成到一组旨在有效实现 DevOps 和安全目标的实践中。
安全 DevOps 管道允许开发团队快速工作,而无需通过引入不需要的安全漏洞来破坏其项目。
注意
安全 DevOps 有时也称为 DevSecOps。 可能会遇到这两个术语,但每个术语都引用相同的概念。
Secure DevOps 上下文中的安全性
从历史上看,安全性通常以较慢的周期运行,涉及传统的安全方法,例如:
- 存取控制。
- 环境强化。
- 外围保护。
安全 DevOps 包括传统的安全方法以及其他方法。 使用 Secure DevOps,安全性在于确保管道的安全。
安全的 DevOps 涉及确定在集成到生成和发布管道的元素中何处添加保护。
安全 DevOps 可以向你展示如何以及在哪里向自动化做法、生产环境和其他管道元素添加安全性,同时受益于 DevOps 的速度。
安全 DevOps 解决了更广泛的问题,例如:
- 我的管道是否使用第三方组件,它们是否安全?
- 我们在使用的任何第三方软件中是否存在已知漏洞?
- 检测漏洞(也称为 检测时间)的速度有多快?
- 如何快速修正已识别的漏洞(也称为 修正时间)?
检测潜在安全异常的安全做法必须与 DevOps 管道的其他部分一样可靠且快速。 它还包括基础结构自动化和代码开发。