DevOpsDays 是一个全球知名的系列技术会议品牌,内容涵盖了软件开发、自动化、测试、安全、组织文化以及 IT 运营的社区会议等。DevOpsDays 由 DevOps 之父 Patrick Debois 先生创办,组织中汇聚了互联网、金融以及各行各业的 DevOps 实践者,通过分享、交流彼此先进的技术思想、理念和业内最佳实践,各界精英和行业内顶尖专家以行动推动了 DevOps 在全球范围的落地。在过去十年的发展中,DevOpsDays 以城市为单位迅速席卷全球,当之无愧地成为了 DevOps 圈中最具影响力的国际盛会。
在 2021 届 DevOpsDays Tokyo 大会上,众多 DevOps 领域大咖们带来了精彩的主题分享。DevOps 之父 Patrick Debois 也在线上为参会者答疑,分享最具价值的 DevOps 实践。CODING 资深技术专家、布道师——周纪海也受邀参与大会并在线上以 DevSecOps 工具与实践为议题进行分享。
以下为周纪海在 DevOpsDays Tokyo 上分享的演讲内容——《 DevSecOps 在大型银行中的落地实践》
DevSecOps 是 Gartner 在 2012 年就提出的概念,其原始术语是" DevOpsSec "。2017 年 RSA 峰会之后,DevSecOps 开始成为世界热门话题。DevSecOps 基于和延续 DevOps 的理念,其设计与执行仍然处于 Agile 的框架之下。DevSecOps 的目标是将安全嵌入到 DevOps 的各个流程中去(需求,架构,开发,测试等),从而实现安全的左移,让所有人为安全负责,将安全性从被动转变为主动,最终让团队可以更快,更安全地开发出质量更好的产品。
DevSecOps 可以给研发效能提供诸多好处,主要表现在三个方面:
在 DevSecOps 实际落地中面临了诸多挑战,其中以技术挑战和人文挑战最为典型。一方面,软件开发是一个复杂的过程,需要 DevSecOps 提供相应的自动化工具支持,但由于 DevSecOps 是个全新的理念,市场上可以选择的工具较少;另一方面,人们对于信息安全的重视,推行 DevSecOps 后开发人员额外增加的工作量,以及管理层的支持与否都成为 DevSecOps 是否能够顺利落地的关键因素。不过,即使没有前者的阻碍,现阶段开发人员关于信息安全知识的储备较为缺乏,面对安全漏洞时无法顺利修复,也为 DevSecOps 的落地带来了极大的阻力。
总的来说,SAST 和 SCA 主要应用在开发阶段,DAST 和 IAST 则应用在测试阶段,安全工具在 DevSecOps 全生命周期中的分布请参照下图:
构建 DevSecOps 体系是 DevSecOps 项目的最终目标,为实现这一目标,DevSecOps 实施模型为我们的实践提供了以下几点思路:
在了解 DevSecOps 项目的目标之后,DevSecOps 运行模型提供了一个关于如何执行 DevSecOps 实现的解决方案。它定义了以下几个不同角色的职责:
以上为 2021 DevOpsDays 东京站的内容分享。
1
kaikai5601 2021-04-23 19:42:41 +08:00
很好奇,DevOps 之父 是谁封的 ?这
|