什么是DevSecOps，为何如此重要?

 
快速而频繁地进行软件更新的能力已成为组织力求在竞争中脱颖而出的方法之一，这也是近年来DevOps运动的推动力。
但是，如果您没有在此自动化管道中建立安全性，那么将会有问题。正如Cloud Native Computing Foundation(CNCF)技术监督委员会主席Liz Rice指出的那样：“要么要么阻碍新功能的交付，要么就被淘汰掉–这对于企业和企业来说都是危险的。客户的数据。”
这导致了DevSecOps的增长，在此计划中将安全性计划并内置到开发生命周期中，并且企业的开发，运营和安全部门之间的协作比以往任何时候都更加紧密。
设计安全
vouchercloud的首席技术官Geoff Parkhurst说，GDPR引入后，设计的隐私和安全性已经真正体现出来，因为它已不再是最佳做法，而是“这样做，否则您会被罚款数千美元”。
“这鼓励了安全性方面的“深入研究”。现在缺乏安全性会直接影响企业的底线，而不是潜在的破坏或网络攻击。”他指出。
确实，如果公司将安全性作为开发过程的自然有机组成部分，则可以很好地实施安全性。这样一来，就可以在开发周期的早期确定安全功能，因为安全功能可以很容易地内置到软件中，而不是“昂贵地添加，或者以折磨或黑客攻击的方式在过程中太晚而无法正确设计，”行业专家和作家Brook Schoenfeld。
领先于罪犯
任何想要提高效率并构建安全软件的公司都应使用DevSecOps，这是在线社区All Day DevOps的联合创始人Derek Weeks建议的。他指出，在过去的十年中，从漏洞发布到其漏洞在野外出现之间的时间已从45天缩短为只有3天。
Apache Struts 2中发现“极其危险”的RCE漏洞
企业不了解如何将安全性集成到DevOps中
如果技术行业想要更好的安全分析师，则必须拥抱自动化
2019年将是云原生成为新规范的一年
“例如，对于最后一个主要的Struts漏洞，在漏洞公告发布后的三天内，包括Equifax，冲绳电力，GMO Payment Gateway和Canada Statistics在内的组织就发生了多次违规事件。无法在此时间范围内部署安全更新的团队会发现自己遭受成功的对抗攻击的风险要大得多。”
在Sonatype的DevSecOps社区调查中，该调查询问了近6,000名IT专业人员为何实施了DevSecOps的实践。发展严重放缓。我们需要确保安全并迅速采取行动。” Weeks说，这完美地说明了DevSecOps为何重要。 “不仅仅是自动化。这是要比邪恶更快地实现自动化。”
实施DevSecOps还使企业有机会重新评估谁可以访问哪些系统和信息。正如Schoenfeld所指出的那样：“尽管它有多么方便，但是让所有人都可以完全使用所有东西是一个非常糟糕的主意”。公司需要使用DevSecOps来限制整个公司的访问，以便只有需要整个系统特权的人才能使用它。
他指出：“通过这种方式，企业可以减少潜在的违规数量，从而建立更强大的网络安全地位。”
DevSecOps的缺点?
安全确实需要作为文化的一部分来内置，但是尽管DevSecOps确实将业务领导者指向了正确的方向，但Parkhurst认为，成熟还需要时间。他担心这已成为流行语，这可能意味着它变成了一个框式滴答作响的练习，企业可以说他们在“做” DevSecOps而没有正确实施。
“我所见过的-这是任何以流行语为主导的新流程所带来的风险-都是三心二意的采用。风险在于，企业没有将安全性左移，而是只是将负责安全性的人员向左移了……这始终是最新“大事”的风险，一些好心的项目经理或技术领导者将试图推动这一发展。在没有充分考虑生态系统的情况下进行更改。
“结果是一名安全专家现在正接近流程的开始。当然，这是一个小小的好处，但是总体上将安全性视为开发人员的重要标志仍然是现实。它什么也解决不了。”
接下来就是采用DevSecOps的挑战，因为这要求企业内部进行全面的文化变革。 Schoenfeld指出，如果公司已经制定了严格的开发流程并采用了不同的安全程序，那么这将尤其困难。
赖斯建议，赋予员工权力并鼓励他们采用支持其新工作方式的工具和流程非常重要，尤其是在安全性方面，传统工具已不再足够。她指出，采用DevSecOps的公司必须对员工进行大量的教育培训，因为这些新工具和流程也将要求用户学习新技能。
IEEE资深会员，普利茅斯大学信息安全副教授兼信息安全教授史蒂文·弗内尔(Steven Furnell)表示：“过渡不仅仅是一个切换的问题。” “这需要额外的努力，例如确保员工完全熟练或受过训练，并配备了必要的工具。因此，这将需要改变文化。与安全性的许多方面一样，需要付出一定的代价，但应将其视为一项投资，而不是一项间接费用。”