下载掌阅APP,畅读海量书库
立即打开
DevSecOps(Development Security Operations),最早由Gartner咨询公司研究员David Cearley于2012年提出是一套基于DevOps体系的全新敏捷安全实践框架,整合了开发、安全及运营理念。2016年9月,Gartner发布报告“DevSecOps:How to Seamlessly Integrate Security into DevOps”,首次对该模型及配套解决方案进行了详细分析,阐述的核心理念为:安全是整个IT团队(包括开发、测试、交付、运营及安全团队)中所有成员的责任,需要贯穿软件生命周期的每一个环节。
传统的软件迭代是以月甚至季度为单位,较长的发版周期为引入安全活动和业务功能、性能测试等都留出了充足的时间,可以确保软件安全和质量。以安全测试为例,这些工作多年来主要是由独立于开发团队的专门的安全部门负责的。然而,随着过去十年云原生、微服务等新技术和软件开源趋势出现,产业界不断孕育出诸如敏捷开发、DevOps及NoOps等全新的IT实践。在这些全新的敏捷实践中,新功能被不断快速开发出来并集成到早前研发的软件上。诸如功能测试、安全测试等流程也通过新技术、新工具实现了自动化,使企业在持续开发、持续集成、持续部署的情形下仍能保持研发效能和应用安全,实现持续创新,进而在激烈的市场竞争中保持领先地位。
尽管DevOps提升了软件开发及运营效能,改变了传统的开发——运营模式,但是也引入了新的问题。现有安全保障方法越来越无力匹配软件发布的速度。DevSecOps敏捷安全应运而生,它通过一套全新的敏捷安全实践框架及配套解决方案将安全要素完整嵌入整个DevOps体系,在保证研发效能的同时又能够实现敏捷安全内生和自成长。传统的外挂式安全管理方法既无法深入数字化业务情景也无法敏捷地提供配套的安全解决方案。而DevSecOps主张将安全要素融入CI/CD流水线,重塑企业文化、流程、技术和度量体系,帮助企业逐步构筑一套适应自身业务发展、面向敏捷业务交付并引领未来架构演进的内生敏捷安全体系。目前,业界在DevSecOps敏捷安全的应用实践上已经有了一些显著进展,例如:在开发团队相关角色的参与下,安全要素可以覆盖整个开发过程;将测试过程中发现的安全漏洞纳入开发管理,由开发人员及时处理等。
除了业务安全需求的推动以外,DevSecOps体系的持续进化还受益于国际学术界和产业界的持续探索和实践输出。2017年,DevSecOps敏捷安全理念首次被引入RSA大会(简称RSAC),至今已连续5年入选RSAC。在有着“全球网络安全风向标”之称的RSAC创新沙盒比赛中,前十强中有近半数安全厂商聚焦在应用安全领域。其中,来自以色列的DevSecOps初创厂商Apiiro凭借创新的代码风险可视化管理技术斩获RSAC 2021创新沙盒全球总冠军。软件供应链与开发安全受此影响获得国内外产业界与学术界的高度关注。