devops 开源_保护开源DevOps的3个步骤

最新推荐文章于 2024-03-10 09:26:54 发布
最新推荐文章于 2024-03-10 09:26:54 发布
阅读量123 收藏
点赞数
文章标签: python java 编程语言 人工智能 机器学习
原文链接:https://opensource.com/article/17/5/secure-open-source-devops
版权

devops 开源

没人真正写自己的代码了,对吧? 我们到GitHub,下载一些库,避免重新创建不必要的轮子,并将这些轮子与我们自己的胶水打包在一起以创建新软件。 然后,我们下载了六个前端框架,以使其外观漂亮且响应Swift,因此我们不参加比赛。 在对公司和其他公司的应用程序进行的审查中,我发现如今构成应用程序的代码中有90%以上是我们借用的,而不是自己编写的。

我们大多数人都使用静态分析工具扫描自己的代码中是否存在缺陷,但是我们没有写的所有东西呢? 我们如何知道实际存在的东西? 找到其中的内容后,您将采取什么措施对其进行清理或保持新鲜? 您如何避免因使用该whiz-bang库在后门令人讨厌而被伪造,而这确实是您无法没有的真正酷的东西?

旧的方式

我从事编程已有近20年的时间,足以看到从传统的程序规划瀑布或螺旋模型到Xtreme编程,敏捷以及现在的DevOps模型的演变。

过去,漫长的开发周期,缺乏任何实际培训以及识别基于安全性缺陷的工具的真空意味着安全性评估主要在软件开发生命周期的后期进行,而大多数情况下是作为人工练习。 通常,触发审核的动力与审计或客户要求确保系统中数据的安全性有关(这种情况发生的频率更低)。

考虑到这种不经常使用的临时安全评估方法,通常不重视基于安全性的缺陷以及发现缺陷的测试。 信息安全小组关注“发现”,即一种运行工具,当被要求安抚审核员以确保一切正常时,它们会生成报告。 功能和功能优先于解决普通用户无法看到的缺陷,而“没人”可以真正看到它们,对吗?

甚至在这种情况下,即使每天都有新技术工人加入市场,但很少有人接受防御性编码实践方面的培训,您可以看到我们最终会遇到什么问题。

好消息是,现在有真正的策略可以使问题变得清晰,并可以解决这些问题。

新方法

当今世界是自动化和连续迭代的领域之一。 我们将流程称为“ DevOps”,因为它可以融合软件开发,基础架构的定义和自动化,从而创建用于自启用的部署和操作的模型。

当我们增加安全性时,我们会抱有相同的期望,即我们将一切自动化,并定义模式和过程,使它们可以连续重复。 我们最终得到了我喜欢的“ DevSecOps”。

这种新方法的关键是“左移”,将安全测试和开放源代码编写工作从后期生产转移到设计和开发。

就像在DevOps中一样,使开发人员能够定义基于软件的体系结构,对其进行版本化并使用自动化进行部署,DevSecOps为这些相同的开发人员提供了相同的工具,技术和流程,以实现软件安全性。

步骤1:开始设计

开源快速摆脱困境的最大途径是,在我们开始编码之前,不考虑应用程序的组成。 您是否仍在为新应用程序使用两年的Struts副本,仅仅是因为它是您工作站上已经存在的东西,而不是您之前所做的10个项目中留下的东西? 每次启动新项目时,请确保您使用的框架是最新,最受信任的框架。 使用SourceClear之类的免费或廉价工具来识别应用程序中的物料清单(BOM),并确保它在开始工作之前达到等级。 它将为您免除以后的头痛。

第2步:自动执行所有操作。

作为开发人员,在我本来已经很忙的一天里,没有什么事情比其他人来找我时还要烦人的了。 如果您希望开发人员在每次部署时都使用该工具,在网站上浏览或要求某人许可,则他们不可避免地会找到避免该问题的方法。

另一方面,如果您可以自动化运行该事物,检查该列表或通知该团队的过程,那么开发人员将专注于使公司赚钱或为客户增加价值的事情。 InfoSec喜欢说“安全是每个人的工作”,但常常忘记了增值才是第一位。 如果我们无法为我们的客户或股东增加价值,那么就没有什么可以保证的。

这里的关键是带外处理并使它透明。 它必须是异步且不可见的,否则它将成为某人的痛苦点。

步骤3:培养“好公民”而不是“好身材”

最后,为了真正实现DevSecOps,我们必须努力改变围绕InfoSec策略和与之相关的部署过程的观念。

过去大多数涉及安全性的部署模型看起来都像这样:

设计–>代码–>集成测试–>质量检查–> InfoSec评论–>生产

但是,当DevOps周期可能只有几个小时甚至是几分钟时,如何使InfoSec在生产前进行审核? 答案:你不知道。

让我这样说:如果开发人员因为您进行了自动化的静态代码分析而在早期就获得了良好的信息,并且为您的开源框架提供了自动生成BOM的自动化方法,那么您已经在软件开发生命周期的早期提供了此方法。由于开发甚至是设计,那么您在构建中到底要测试什么?

您只是在问他们是否对他们已经知道的采取了行动。

现在问自己一个问题,“你信任他们吗?”

看,如果您足够早地提供信息,那么到部署时,实际上可以删除“ InfoSec Review”!

什么!?

这是真的。 此时,您的变更控制过程可以简单地询问:

  • “此应用程序的自动安全审查是否已在每个阶段完成?”
  • “开发人员是否一直在按预期解决关键缺陷?”
  • “最后完成的评估措施是否达到了我们的期望(政策)?”

如果您对这些问题的回答是“是”,那么您正在做的就是相信开发团队正在充当模范公民,谨慎生产高质量的产品,并以负责任的方式表现良好。 我们的新模型如下所示:

明智的设计–>自动化代码审查–> IT –>质量检查–>好公民? –>部署!

杰里米·安德森(Jeremy Anderson)将在德克萨斯州奥斯汀举行的OSCON 2017上的演讲“ 保护应用程序中的其他97%的安全”中对该过程进行更深入的回顾。 如果您有兴趣参加会议,请在注册时使用以下折扣代码: PCOS

翻译自: https://opensource.com/article/17/5/secure-open-source-devops

devops 开源

cumo3681
关注
热门!2021年备受喜爱的11种开源 DevOps 工具!
超越无限_
04-25 1717
DevOps 不仅是一种文化转变,而且还需要强大的工具才能实现。下面,我们汇总了一些当今最受欢迎的 DevOps 工具。但是,将大量资金投入到精美的SaaS解决方案中可能会迅速吞噬云预算。这些 DevOps 工具都是开放源代码,并支持从容器构建和编排到微服务网络,配置管理,CI / CD 自动化,全栈监视等更多功能。 Kubernetes 由于微服务和基于容器的软件无处不在,因此 Kubernetes 在今年的开源 DevOps 工具列表中名列前茅也就不足为奇了。Kubernetes 在2020年的使用.
AzureDevOps_TF_AKS_Demo
02-15
【AzureDevOps_TF_AKS_Demo】是一个演示项目,旨在展示如何利用Azure DevOps与Terraform结合来部署和管理Azure Kubernetes Service (AKS) 集群。在这个项目中,我们将深入探讨如何利用这些工具实现高效、安全且可...
运维工具
fengbin2005
06-11 220
包&产品管理工具 Chocolatey:Chocolatey是Windows下一款开源的命令行包管理软件 ,简单说这就是Windows的apt-get; FPM:全称是Effing package management,该死的软件包管理器,极大的缓解了多个平台构建软件包(deb,rpm,等)的痛苦; Herd:是一个基于Twitter Murder的文件分布系统; Va...
2021年最受欢迎的10款开源DevOps工具
qq_46138160的博客
09-01 4638
DevOps不仅仅是一种工作方式的转变–它需要强大的工具来实现。 下面,我们列出了一些当今最受欢迎的DevOps工具的清单。 考虑到把大量的钱投入到花哨的SaaS解决方案中会很快吞噬掉云的预算,因为,今天介绍的这些DevOps工具都是开源的,可以实现从容器构建和协调到微服务网络、配置管理、CI/CD自动化、全栈监控等一切。 以下就是我认为在2021年必须了解的一些开源DevOps工具。 1. Kubernetes 随着微服务和基于容器的软件无处不在,Kubernetes在开源DevOps工具列表中名列前茅
重点推荐一款开源devops工具!
emprere的博客
04-05 857
上一篇:3600万中国人在抖音“上清华”盘古是javashop团队内部总结多年的部署经验推出的一款开源devops工具, 致力于在提供简单、使用、高效的可持续集成服务。在目前流行的dev...
开源 DevOps 工具,你值得拥有!
CalEx_Tech的博客
08-29 551
当前,中国的开源软件市场发展迅速,目前已达到千亿规模,越来越多的有识之士投入到 DevOps 开源工具的建设中,开源生态的发展保证了 DevOps 技术的活力,对技术的发展至关重要。更重要的是,SoFlu 软件机器人是一个中立的软件开发平台,用户开发出来的软件是自己的,软件运行不依赖任何厂商的生态,意味着系统部署上线后,用户数据不会留存在厂商的平台上,数据安全有保障。值得注意的是,一些流行的开源 DevOps 工具已经被收购,比如 Docker 和 Chef,业务和开源根源之间的界限变得更加模糊。...
DevOps_with_OpenShift.pdf_devops_
09-30
3. **OpenShift的DevOps工具链**:讨论OpenShift集成的DevOps工具,如Jenkins、GitLab CI/CD、Docker registry等,以及如何利用这些工具实现自动化测试、构建和部署。 4. **应用开发与部署**:演示如何在OpenShift...
itea_devops_adv_exam_2:aws eks
02-23
本主题“itea_devops_adv_exam_2”可能是一个关于高级DevOps实践的考试或培训项目,特别关注如何在AWS环境中使用EKS。让我们深入探讨AWS EKS的关键知识点和相关的DevOps实践。 1. **Kubernetes基础知识**:...
开源DevOps的未来2022DevOps顶级峰会(脱敏
11-22
【标题】"开源DevOps的未来2022DevOps顶级峰会"揭示了当前IT行业的一个重要趋势:开源技术和DevOps的深度融合及其对未来发展的影响。这个峰会作为一个知识交流的平台,汇集了行业内的专家和领导者,共同探讨如何在...
devops开源端到端部署流水线
03-14
devops流水线视频,高校运维社区制作,讲解devops端到端持续交付流水线1.0
开源DevOps生态链条简介
wzj_110的博客
04-16 694
一 我所接触的 Devops既不是软件、也不是网站、更不是代码,而是一组方法(method)、过程(process)与系统(system)的统称! Devops包含了很多优秀想法和原则,它鼓励开发部门和运维部门通力合作。在DevOps环境中,开发人员和系统管理员会构建一些关系、流程和工具,从而更好的与客户互动,最终提供更好的服务。 核心:成为一个Devops工程师不是一朝一夕的过程,长...
搭建devops开源软件方案
keyboard专栏
03-06 1339
使用开源解决方案实现 DevOps 流程是一种成本效益高且灵活的方式,可以促进团队协作、自动化流程和提高生产效率。
2021年11个我们喜爱的DevOps开源工具
程序员石磊
01-01 790
随着2021年的结束,我们在DevOps.com想要选出今年最受欢迎的文章。以下是我们“2021年最佳”系列中的第8篇。 ​ DevOps不仅仅是一种文化转变——它需要伟大的工具来实现。下面,我们整理了一些目前最受欢迎的DevOps工具。但是,如果把大量资金投入到花哨的SaaS解决方案中,很快就会吞噬云计算的预算。这些DevOps工具都是开源的,支持从容器构建和编配到微服务网络、配置管理、CI/CD自动化、全栈监控等一切功能。以下是我们最喜欢的2021年DevOps开源工具。 1、kubernetes 随着
最棒的60个DevOps开源工具
weixin_33943347的博客
12-27 462
编者按:DevOps越来越流行,越来越成为加快产品研发速度、提升团队效率的有效工具。现在,在开发、测试、部署、交付、维护以及监控分析等工作中,有越来越多的开源DevOps工具可以使用。 本文推荐了60款开源工具来帮助大家更好的实行DevOps。 你喜欢免费的东西吗?获得开发者社区支持的自动化,开源的工具是大家梦寐以求的。这里列举了 60+ 款最棒的开...
2024 年10个最佳 DevOps 开源监控工具
最新发布
DevOps持续集成的博客
03-10 528
image.png到 2024 年,监控对于现代 DevOps 团队的工作至关重要。DevOps 团队需要可靠且灵活的工具来有效监控和管理复杂的系统,这些系统可以提供对系统性能、可用性和安全性的实时洞察。开源监控工具因其成本效益、灵活性和社区支持而变得越来越受欢迎。用于 DevOps 的 OSS 监控工具的优缺点与 SaaS/托管工具相比,以下是开源监控和可观察性工具的一些优点和缺点。优点定制:开...
DevOps 工具链管理器 DevStream 还真是神器!
DevOps持续集成的博客
09-06 702
DevStream是一个开源DevOps 工具链管理器,将主流 DevOps 全生命周期的开源工具管理起来,提供了包括安装部署、最佳实践配置等功能,因开发者而生,由开发者开发,为开发者服务。想象你正在开始一个新的项目或组建一个新的团队。在写第一行代码之前,你需要一个能够高效运转 SDLC(软件开发生命周期)和承载开发至部署全过程的工具。通常情况下,你需要以下几个部分来高效地工作。项目管理软件...
信息安全半月谈 InfoSec Review Biweekly 016
weixin_33963189的博客
04-16 136
If you are having trouble viewing this article, click here. 四部委联手打击“网络水军”“×××” http://it.people.com.cn/GB/14389319.html 评论:网络推手立二拆四被批捕,正式表明国家开始正式整治网络舆论环境,对利用网络制造虚假信息,危害社会诚信的团体或个人给予严惩!多数互...
开源DevOps工具在平台的未来
开源云中文社区
10-26 646
DevOps工具的开源根基是不可否认的,有预测称,到2026年,全球DevOps市场将达到178亿美元。不断变化的工作、安全和合规问题,以及风险投资公司,正在将市场推向DevOps平台,开发团队可以在云中访问完整的端到端DevOps工具链。开源DevOps工具的当前状态让我们弄清楚一件事:开源工具不可能从DevOps世界消失。现在,开源和供应商DevOps工具之间有一种平衡,开发者使用适合的工具。...
DevOps到底是什么鬼?DevOps介绍及工具推荐。
热门推荐
Java技术栈,分享最主流的Java技术
01-17 4万+
什么是DevOps DevOps是Development和Operations的组合,是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。它的出现是由于软件行业日益清晰地认识到:为了按时交付软件产品和服务,开发和运营工作必须紧密合作。 可以把DevOps看作开发(软件工程)、技术运营和质量保障(QA)三者的交集。 传统的
DevOps实践:使用VSTS与开源代码部署Azure应用
3. **集成DevOps平台 - VSTS (Visual Studio Team Services)**:VSTS(现称为Azure DevOps Services)是微软提供的一个全方位DevOps平台,集成了版本控制、项目管理、自动化构建、测试和部署等功能。通过VSTS,团队...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值