嘉宾 | 马景贺 整理 | 西京刀客
出品 | CSDN云原生
为什么是DevSecOps而不是DevOps?安全“左移”是要逼疯开发者吗?安全持续自动化真能搞定安全吗?人人为安全是一句口号吗?
2022年5月24日,在线上举行的云原生系列Meetup·北京站上,针对这些连续发问,极狐(GitLab)DevOps技术布道师马景贺给出了详细解答。
Why DevSecOps
DevOps从诞生到传至国内,相关的会议、文章、书籍数不胜数,当前也有非常多的企业在做DevOps转型。
那为什么要讲DevSecOps而不是DevOps呢?是因为DevOps不香了吗?
DevOps是指Dev和Ops两个Team通过有效的协作,加速整个软件研发生命周期,加速交付进程。既然如此,对于DevSecOps来说,是不是也就是把Dev、Sec、Ops这三个词融在一起就可以落地实现DevSecOps呢?其实也没有那么简单。
Security从“幕后”到“台前”
在DevOps时代,大家已经认识到应用程序的安全性了。但对于之前的软件开发模式来说,其软件交付生命周期比较长,传统的保障安全的方法基本都是被放在整个软件开发生命周期的后期集中进行。
Security逐渐受重视
首先,随着企业积极地向云上迁移,这个过程中有非常多的安全问题,如数据安全、网络安全、存储安全等。所以在此过程中,Security越来越受到重视。
其次,开源也导致大家现在把安全话题又提出来了。一些报告数据显示,所有企业其实都用了开源,比如Linux、Git、Android。从数据来看,现在企业内部使用的软件70%以上是开源的。因此,安全一下子进入人们的视野。
Security is money</