01 什么是DevSecOps?
DevSecOps从单词上来看可以分为Dev(开发)、Sec(安全)、Ops(运维)三个部分,DevSecOps是在软件开发生命周期(SDLC)的早期引入安全性,意味着安全防护要贯穿应用开发的整个过程,通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线。
02 从DevOps到DevSecOps
从字面上看,DevSecOps在DevOps的基础上增加了Sec,可以理解成在遵循DevOps的理念下,将安全融入其中,是DevOps的升级版。
从前,安全防护只是特定团队的责任,在开发的最后阶段才会介入。当开发周期长达数月、甚至数年时,这样做并无问题;但现在,采用DevOps可以有效推进快速频繁的开发周期(有时全程只有数周或数天),过时的安全措施则可能会拖累整个流程,即使最高效的DevOps计划也可能会放慢速度。
DevSecOps意味着从一开始就要考虑应用和基础架构的安全性,同时还要让某些安全网关实现自动化,以防止DevOps工作流程变慢,选择合适的工具来持续集成安全防护有助于实现这些目标。
03 DevSecOps工具
DevSecOps工具是整个DevSecOps的核心。它通过扫描开发代码、模拟攻击行为,从而帮助开发团队发现开发过程中潜在的安全漏洞。
从安全的角度来看,DevSecOps工具可以划分为以下四类:
静态应用安全检测工具