DevSecOps平台架构组成

最新推荐文章于 2024-03-26 08:02:17 发布
最新推荐文章于 2024-03-26 08:02:17 发布
阅读量1.1k 收藏 31
点赞数 24
分类专栏: 网络安全 # DevSecOps 文章标签: devops DevSecOps 自动化运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25409421/article/details/135966252
版权

目录

一、平台架构概述

1.1 概述

二、DevSecOps平台架构组成内容

2.1 DevSecOps平台的建设目标

2.2 DevSecOps平台架构

2.2.1 平台架构图

2.2.2 平台架构组成

2.2.2.1 黄金管道子系统

2.2.2.1.1 概念解析

2.2.2.1.2 概念来源

2.2.2.1.3 DevSecOps 与软件开发模型的关系

2.2.2.1.3 黄金管道核心流程

2.2.2.1.3.1 黄金管道核心流程图

2.2.2.1.3.2 黄金管道核心流程内容

2.2.2.2 工具链子系统

2.2.2.2.1 概念解析

2.2.2.2.2 安全工具链的分布

2.2.2.2.2.1 安全工具链分布图

2.2.2.2.2.2 安全工具链分布说明

2.2.2.3 周边生态子系统

2.2.2.3.1 概念解析

2.2.2.3.2 周边生态子系统的作用

2.2.2.3.3 周边生态子系统的组成内容

2.2.2.3.4 CMDB在CI/CD中的使用

2.3 总结

一、平台架构概述

1.1 概述

既然DevSecOps平台建设的需求来源清楚了,那么,接下来以这些需求为出发点,介绍一个DevSecOps平台的基本架构组成。

二、DevSecOps平台架构组成内容

2.1 DevSecOps平台的建设目标

DevSecOps平台的建设目标是保障DevSecOps体系建设在企业内部的落地,它承载着DevSecOps理念和企业业务目标、组织架构、协作流程等在安全领域的实现,是企业安全管理的作业流水线,也是众多安全工作条理化的纲要。平台作为整个体系中的一部分,其定位首先要满足业务的目标或愿景

如上图所示,在企业内部,DevSecOps平台充当着原始需求和最终交付之间的管道,兼顾研发过程、安全与平台自身,通过度量指标运营与分析,共同推动企业整体研发效能的持续改进

2.2 DevSecOps平台架构

2.2.1 平台架构图

基于此平台定位之上,典型的DevSecOps平台架构如下图所示。

2.2.2 平台架构组成

从架构图中可以看出,典型的DevSecOps平台架构一般至少包含3个组成部分,分别为:

2.2.2.1 黄金管道子系统
2.2.2.1.1 概念解析

黄金管道子系统,即研发信息化管道,通常为CI/CD系统,它是整个DevSecOps开展工作的基础,不同的角色依托于此管道之上,开展日常的研发活动,如需求分析、代码开发、编译构建、测试验证、发布部署等。

2.2.2.1.2 概念来源

黄金管道是2018年美国RSAC大会上提出的概念,在技术实现上它对应于CI/CD软件研发流水线。通过管道化流程线,标准化软件研发流程,简化软件开发活动,输出持续、稳定、安全的高质量的软件产品。

2.2.2.1.3 DevSecOps 与软件开发模型的关系

在前面文章内容介绍DevSecOps的核心流程时,曾提其与软件开发模型的关系,如下图所示。

2.2.2.1.3 黄金管道核心流程
2.2.2.1.3.1 黄金管道核心流程图

2.2.2.1.3.2 黄金管道核心流程内容

黄金管道就是基于DevOps持续集成、持续交付、持续部署等核心流程之上的技术实现,从开发阶段开始,到部署阶段结束。它基本涵盖软件研发过程中,占用人力资源最多、花费时间最长、也是最为烦琐的研发环节。在开源技术中,其实现和核心流程如上图所示。

基于这样的黄金管道之上,开发人员可以流程化地完成对需求的编码开发到测试后的发布上线。当有多个开发人员并行开发时,其流程是一致的,当有多个角色参与开发活动时,整体的流程也是一致。

关于黄金管道更多的技术细节将在后续文章为大家详细地介绍。篇幅原因,这里就暂时只是提一下。

2.2.2.2 工具链子系统
2.2.2.2.1 概念解析

工具链子系统,通常是指黄金管道及其流程实现依赖的工具,除了安全工具之外,也包含业界常说的DevOps工具。从架构图中可以看出,这些不同的工具在整个链路上承载着不同的业务功能,起到贯穿管理与技术落地的作用。因其是在整个链路的不同阶段或不同层次,故称为工具链。

2.2.2.2.2 安全工具链的分布
2.2.2.2.2.1 安全工具链分布图

在DevSecOps中,重点强调的是安全工具链。安全工具链依附于黄金管道之上,提供管道流程中各个不同环节的安全活动所需要的安全能力,如下图所示。

2.2.2.2.2.2 安全工具链分布说明

在黄金管道CI/CD这条链路上,聚集着不同的安全工具。例如,静态安全检测SAST和软件成分分析SCA适合在开发和构建阶段集成至CI/CD流水线,动态安全检测DAST和交互式安全检测IAST适合在测试阶段集成至CI/CD流水线。在整个DevSecOps平台中,这样的安全工具很多,它们围绕着黄金管道的主流程,呈链状分布,共同保障整个研发生命周期的安全性。

安全工具链的技术细节这里也不展开多说,后续文章为大家详细地介绍。

2.2.2.3 周边生态子系统
2.2.2.3.1 概念解析

周边生态子系统,这里主要是指研发信息化系统。从DevSecOps理念和平台定位上来看,平台既需要起到加强周边协作的作用,也需要为DevSecOps体系建设的持续改进提供数据分析和决策支撑,所以与DevSecOps流程相关的周边信息化系统也需要纳入大的DevSecOps平台中,完成数据对接与打通,以便各个不同的管理角色了解DevSecOps当前态势和变化趋势。

2.2.2.3.2 周边生态子系统的作用

DevSecOps体系建设在实施与运营过程中,需要依赖周边系统的协作来完成整个研发流程,或者通过周边系统的辅助来提高整体研发效率

2.2.2.3.3 周边生态子系统的组成内容

在这些周边系统里,与DevSecOps体系尤为密切的系统有项目管理系统、代码仓库、组件仓库、镜像仓库等。它们为黄金管道提供基础数据,为研发活动提供服务支撑,是DevSecOps平台中不可或缺的基础设施。

2.2.2.3.4 CMDB在CI/CD中的使用

这里列举一下周边生态子系统的组成CMDB在CI/CD流程中的使用,如下图所示:

CMDB在CI/CD中为整个流程的数字化提供基础数据支撑。

DevSecOps中涉及的诸多周边生态这里也不作过多说明,后续文章会根据流程的不同,分别为大家详细地介绍。

2.3 总结

黄金管理、工具链、周边生态子系统,他们依托基础仓库,对基础设施资源进行调度和管理,一起组成了整个DevSecOps平台的全部。通过平台向用户提供涵盖规划、编码、构建、测试、发布、部署和维护等研发工作的平台能力,向平台管理者提供平台使用率、平台可用性、漏洞平均检测时间、漏洞平均修复时间、自动化覆盖率等管理数据。

好了,本次内容就分享到这,欢迎大家关注《DevSecOps》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!

夜夜流光相皎洁_小宁
关注
  • 24
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
DevSecOps的理解与思考
03-01
“DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。看到这个概念,第一反应是“安全运维”,是不是新瓶装旧酒呢?确实一直以来,不论从主机安全还是到网络安全,很多工作都是安全运维的交集,既涉及到安全,同时也涉及到运维,没有运维足够的支持很多安全工作也比较难开展。但是经过一段时间,发现最初的理解实际比较片面,刚才提到的并不是真正DevSecOps所要传达的理念,DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、
DevSecOps的三种解读
03-03
DevSecOpsDevOps一样,可以有多种解释,前三种解释涉及人、过程和技术第一个含义是确保DevOps技术的安全性,这意味着调整现有的解决方案使其可用于新的技术栈,或者构建新的工具来解决新的安全问题第二个含义是确保DevOps方法的安全性,即更改安全控制与应用程序和开发过程相互作用的时间和方式第三个含义是适应DevOps共享所有权的哲学,使开发和运维团队拥有更多的安全责任和活动要真正地拥抱DevSecOps,首先要采用它的哲学,这才能得出正确的方法和相应的技术DevSecOps现在是一个热门词汇,我喜欢它,也讨厌它。我喜欢它,因为它具体化了美国证券交易委员会行业(包括我在内)多年来一直
DevSecOps平台架构系列-亚马逊云AWS DevSecOps平台架构
最新发布
qq_25409421的博客
03-26 855
亚马逊云AWS也是较早开展DevSecOps实践的头部企业之一,在2017年AWS的技术博客中就曾讨论如何利用AWS Pipline构建DevSecOps平台能力。下面,我将从AWS DevSecOps 实施原则、AWS DevSecOps 关键组件、AWS DevSecOps 安全组件、AWS DevSecOps平台架构等方面的内容,带大家一起来了解一下AWS的DevSecOps平台架构
华为云构建云原生DevSecOps平台,保障软件供应链全流程安全可信
华为云官方博客
08-18 1356
面临网络安全挑战的大环境下,华为云构筑的云原生DevSecOps平台,打造了创新可控的安全服务,助力企业软件供应链全生命周期安全。
GitLab 专家分享|关于 DevSecOps ,你需要知道这几点
GitLab 中国发行版
03-02 451
为何现代软件需要DevSecOps
云原生应用DevSecOps技术架构.pdf
10-15
云原生应用DevSecOps技术架构.pdf
DevSecOps概述
sre救赎之路
02-13 5077
DevSecOps概述
什么是 DevSecOps?2022 年的定义、流程、框架和最佳实践
热门推荐
DevOps持续集成的博客
06-20 1万+
DevSecOps 是一套实用且面向目标的方法,用于确保系统安全。DevSecOps 被定义为通过与 IT 安全团队、软件开发人员和运营团队合作,在标准 DevOps 周期中建立关键安全原则的过程。以下是对 2022 年 DevSecOps 管道、框架和最佳实践的深入分析。目录什么是 DevSecOps?DevSecOps 管道如何工作?了解 DevSecOps 框架20...
一文读懂 DevSecOps:工作原理、优势和实现
分享平台工程、应用部署的最佳实践
10-26 1985
DevSecOps 是描述开发、安全和运维集成的术语。它是一种文化、自动化和平台设计策略,强调安全是整个 IT 生命周期中的共同责任。DevSecOps 从一开始就考虑到安全性来创建应用程序和基础设施的做法,同时涉及自动化安全检查,以免减慢当前的 DevOps 流程。为了满足安全目标,安全团队为持续集成安全选择和配备合适、正确的工具来满足必要的保护。
DevSecOps理论概述
qq_25409421的博客
01-25 958
网络空间安全是近几十年才逐渐兴起的行业,在行业发展的过程中,随着内外部安全环境的变化和从业人员对网络空间安全理解的加深,先后出现了不同类型的安全治理框架,它们在不同的安全领域发挥着独特的作用,这些框架或标准模型在指导安全从业人员开展安全改进工作中起到了关键的作用。DevSecOps也是这样一个模型或框架,它是过去十几年,各大互联网企业在不断的安全实践中,总结失败经验,寻找成功路径,逐步形成的一套被业界所认可的契合互联网企业业务模式的安全工程实践。
DevSecOps核心流程基本组成分析
qq_25409421的博客
01-28 1266
在前文讨论 DevOps时介绍了DevOps的管道和流程,不同的是前文仅仅从DevOps角度阐述。这里,再次从DevSecOps的角度,为大家讲述DevSecOps的核心流程。然后通过举例分析Azure DevSecOps核心流程经典场景实现,帮助大家理解DevSecOps的核心流程,Les't Go!
devsecops-reference-architectures:DevSecOps参考架构的集合
05-23
DevSecOps参考架构 这是DevSecOps参考架构的集合。 我已经厌倦了通过低分辨率幻灯片共享和抓取电子邮件的Web表单进行爬网,因此我开始了这个回购,以共享参考体系结构-免费-每个人-贡献自己的力量。 贡献 随时通过请求请求或问题做出贡献。 如果您发现高质量的幻灯片,请告诉我! 请提供有关新架构的以下数据: 架构来源的名称 参考架构图 设计架构的年份 可选:链接到源以获取更多信息 可选:体系结构摘要。 有什么特别之处? 区别在哪里? 它解决的问题是什么? 可选:软件堆栈。 这样可以更轻松地搜索使用特定工具的体系结构。 致谢 感谢及其( )。 大多数引用的工具都可以在结构更好的。 建筑学 OWASP AppSec坚固的DevOps管道项目-2015 , , OWASP AppSec坚固的DevOps管道项目是查找所需信息的地方,以提高AppSec程序的速度和自动化。
百度的DevSecOps实践
02-23
作为一家大型互联网公司,百度具备着所有大型公司和互联网公司的典型特点:业务体系繁多、业务数量庞大、业务迭代迅速。在百度内部,业务研发模式有别于传统的SDLC模型,更接近于DevOps模式,CI/CD工具集成和自动化...
DevSecOps 平台需求来源分析
qq_25409421的博客
01-31 1110
在正式介绍DevSecOps平台架构之前,先来介绍一下DevSecOps平台的需求来源,从业务源头了解为什么必须要建设DevSecOps平台这件事。 在很多企业,当DevSecOps被当作企业战略的一部分时,是从企业的总体规划去考虑的。无论是在企业战略中提高安全的重要性,还是把安全性当成其他的质量指标,其本质仍然是通过流程化管理,加强不同开发团队之间的沟通与协作,保障输出产物的一致性和标准化,从而达到控制软件质量品质的目的。
从方法论到最佳实践,深度解析企业云原生 DevSecOps 体系构建
阿里云云栖号
01-23 958
安全一直是企业上云关注的核心问题。随着云原生对云计算基础设施和企业应用架构的重定义,传统的企业安全防护架构已经不能够满足新时期下的安全防护要求。
ChatGPT:DevSecOps 落地实践的最后一公里
GitLab 中国发行版
05-18 993
打通研发和安全之间的壁垒。
如何保证微服务架构的安全?|CSA发布《微服务架构模式》
CCSA2018的博客
05-05 470
关注微信公众号“云安全联盟CSA”,回复关键词“微服务架构”,即可阅读下载全文 1 数字时代的微服务安全 微服务架构已经成为构建现代应用程序的默认方式。要从微服务中获得最大的收益,需要清楚地了解微服务安全及其架构设计。微服务安全的设计应是预设安全,需要站在微服务架构角度进行安全治理,结合数字化时代及业务特性,保证业务价值实现。 如何保证微服务架构的安全?CSA发布《微服务架构模式》,给出了 CSA 的最佳实践与总结,通过 CSA 微服务安全参考架构以及安全控制措施叠加的新思路,保证了微服务在架构层面的..
DevSecOps平台架构系列-微软云Azure DevSecOps平台架构
qq_25409421的博客
03-26 1265
一般来说,采用DevOps来作为研发管理实践是为了加快从需求到应用程序上线的速度,缩短开发周期,通过一致性管理流程和自动化管道,保障应用程序的开发质量。Azure云也不例外,不同的是Azure云自己开发了一系列的DevOps服务或组件,用于应用程序开发生命周期的端到端管理,包括规划、项目管理、代码管理、制品生成、版本发布等。微软Azure云的DevSecOps是在Azure DevOps基础上构建起来的,今天就围绕Azure DevOps和黄金管道、Azure DevSecOps关键安全组件等内容来描述架构
Jenkins DevSecOps
07-28
Jenkins DevSecOps是指在Jenkins中集成安全操作的实践。Jenkins是一个免费且开源的自动化服务器,用于构建、测试和部署软件,实现持续集成和持续交付。\[3\]在Jenkins中进行DevSecOps实践可以通过集成安全工具来增强软件开发过程中的安全性。例如,可以使用OWASP Zap和Burp Suite Enterprise Edition等工具来进行Web应用程序安全测试。\[1\]\[2\]通过在Jenkins中集成这些工具,可以在构建和部署过程中自动执行安全测试,及时发现和修复潜在的安全漏洞,从而提高应用程序的安全性。 #### 引用[.reference_title] - *1* *2* *3* [jenkins ci/cd_DevSecOps:使用Jenkins和OWASP ZAP进行CI / CD Web应用程序测试。](https://blog.csdn.net/weixin_26746861/article/details/108176703)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值