知名調(diào)研機(jī)構(gòu)InfoholicResearch的研究結(jié)果表明,未來(lái)幾年內(nèi),全球DevSecOps市場(chǎng)有望在亞太地區(qū)市場(chǎng),尤其是中國(guó)、新加坡,日本和印度獲得增長(zhǎng),這也反映了DevSecOps平臺(tái)與日俱增的關(guān)注度。
DevSecOps提倡從一開(kāi)始就將安全性集成到開(kāi)發(fā)工作流程中。換句話說(shuō),DevOps將軟件開(kāi)發(fā)和操作融合在一起,將消除孤島當(dāng)作一種文化,從而可以快速改進(jìn)并提升性能。
“安全性設(shè)計(jì)”原本被認(rèn)為是技術(shù)提供商經(jīng)常過(guò)度宣傳的概念,也因而屢遭疑議。而在DevSecOps平臺(tái)中,安全性從根本上得以實(shí)現(xiàn)。
DevSecOps在DevOps領(lǐng)域中處于什么位置?
F5認(rèn)為,DevOps需要一種新的思維模式來(lái)?yè)肀н@種軟件開(kāi)發(fā)的新方法。DevSecOps是一種方法論,要求從業(yè)者在持續(xù)集成和交付(CI/CD)過(guò)程中優(yōu)先考慮安全性。現(xiàn)實(shí)情況是,許多開(kāi)發(fā)人員并不是安全專家,反之亦然,許多安全專家也不做開(kāi)發(fā)工作。
那么,安全如何得以更好地集成到軟件開(kāi)發(fā)的全生命周期(SDLC)中去呢?F5安全專家指出,在DevOps環(huán)境下,應(yīng)用的開(kāi)發(fā)通常是個(gè)快節(jié)奏且動(dòng)態(tài)的過(guò)程。對(duì)于這個(gè)問(wèn)題,還需要借助那些用來(lái)幫助組織跟上進(jìn)度的安全測(cè)試工具和最佳實(shí)踐。
如今,企業(yè)面臨的應(yīng)用程序環(huán)境變得越來(lái)越復(fù)雜,應(yīng)用程序的更新迭代從每年更新一次,到如今的幾乎每天都在進(jìn)行更新,節(jié)奏被極大地提高了。由于DevSecOps流程并不總是那么簡(jiǎn)單,IT部門需要深入研究其通道,以了解信息的類型和隨后可能出現(xiàn)的潛在漏洞,進(jìn)而獲得成功的衡量標(biāo)準(zhǔn)。
DevSecOps要求確保IT安全和應(yīng)用程序安全成為每個(gè)人的職責(zé),從使用的安全測(cè)試工具,到讓安全團(tuán)隊(duì)從早期便加入到與客戶的溝通中,都體現(xiàn)出它貫穿全生命周期的要求。
安全與速度的挑戰(zhàn)
DevOps從業(yè)者在初涉DevSecOps時(shí)遇到的另一個(gè)問(wèn)題是速度問(wèn)題。比如,當(dāng)部署應(yīng)用程序安全工具(AST)時(shí),IT團(tuán)隊(duì)通常希望留有充裕的時(shí)間用以執(zhí)行,以確保其可靠性。然而,這對(duì)于對(duì)速度和敏捷性有要求的組織來(lái)說(shuō),就會(huì)成為一個(gè)小缺憾。組織需要考量并盡量減少時(shí)間成本帶來(lái)的影響。
還有一些實(shí)際問(wèn)題,比如,確保工具和技術(shù)在容器中的工作狀態(tài)達(dá)到最佳效果,甚至確保所使用的AST工具不會(huì)對(duì)容器的可拓展性帶來(lái)負(fù)面影響。然而,如果AST工具的圖像占用空間很大,或者依賴于必須將數(shù)據(jù)存儲(chǔ)在容器中,就可能會(huì)發(fā)生這種情況。但是,AST工具的運(yùn)行也需要時(shí)間,并且它們會(huì)降低整個(gè)CI/CD通道的速度。
有趣的是,CI/CD通道其實(shí)從來(lái)沒(méi)有在概念上將安全性列為首要考慮的性能,而是更多的考慮速度和便利性。隨著DevSecOps概念和方法的引入,開(kāi)發(fā)過(guò)程中的每個(gè)人都有責(zé)任確保安全。然而,這會(huì)導(dǎo)致開(kāi)發(fā)速度緩慢,因而,這種方法就被視為創(chuàng)新的攔路虎。其實(shí),只有將安全性放在首位,IT組織才可以避免因安全威脅而造成的損失和損害。
最后,F(xiàn)5安全專家提醒,借于DevOps快速迭代的特性,人們應(yīng)該關(guān)注其改進(jìn)的速度,并將安全性作為一個(gè)“必備的特性”。因?yàn)闀r(shí)至今日,安全已經(jīng)不再只是一個(gè)“關(guān)鍵性能”。在DevOps和DevSecOps充分融合之前,后者將在各種環(huán)境下充當(dāng)臨時(shí)分支,以突出安全性在應(yīng)用程序開(kāi)發(fā)中的作用。
