DevSecOps
文章平均质量分 95
DevSecOps 安全敏捷模型相关内容
夜夜流光相皎洁_小宁
九零后技术大叔,从事信息安全行业,架构师,JavaWeb、大数据、移动应用开发,关注移动应用安全、大数据安全、云原生安全、网络安全渗透、攻防等领域;喜欢交流和分享,喜欢读书,什么书都会读一读,比较杂;闲暇时间喜欢做技术总结,喜欢探索技术、解锁新技能。
展开
-
典型周边生态系统
在DevSecOps的实施阶段,还需要和企业自身的研发管理体系打通,只有将这些系统之间的数据和能力打通,才能做到DevSecOps的可持续运营,为参与DevSecOps的各个角色提供数据分析,并帮助其做出改进决策。本节介绍这些典型的周边生态系统。原创 2024-03-31 16:54:13 · 848 阅读 · 3 评论 -
主流安全工具简介
在上一节中详细介绍了SAST、DAST、IAST和RASP等技术的基本原理、优缺点及使用场景。本节将从每一种技术中,挑选若干业界知名的安全产品,从产品的架构、使用、性能等重要参数来介绍,以帮助大家更深入地了解这些产品,也供工具选型时参考。主要介绍的工具有Fortify、Checkmarx、AWVS、Nessus、OpenRASP、DongTai、WAF等原创 2024-03-31 10:00:13 · 1328 阅读 · 3 评论 -
DevSecOps安全工具链介绍
建设DevSecOps平台的目标之一就是降低线上安全漏洞的数量和修复成本,围绕这一目标,其核心是构建和利用好各种自动化安全漏洞检测工具,并将其与CI/CD流水线进行自动化集成,在不影响研发效率的同时,确保安全漏洞能够及时、准确地发现。作为建设者,需要根据工具的特性和所适合嵌入的研发阶段,对安全工具进行分类,以明确安全工具在整个平台中的定位,构建安全发现能力的纵深,让各种安全工具各司其职,最终形成完整的安全工具链。本文带大家了解SAST、DAST、IAST、RASP工具类原创 2024-03-31 09:36:52 · 1412 阅读 · 3 评论 -
持续交付/持续部署流水线介绍(CD)
在实际工作中,CI/CD通常是在一起的。但是为了详细地向大家讲述其中涉及的技术要求将其拆分,分别向大家讲述持续交付、持续部署与持续集成的流程,方便大家理解自动化流程是如何从测试环境向生产环境变化过渡的,下面就从这些变化点,结合前文的CI流程,来介绍CD操作流程和使用场景。并介绍公有云基于GitHub+Docker的持续交付/持续部署流水线方案和私有云基于Jenkins+Docker+K8s的持续交付/持续部署流水线方案。原创 2024-03-30 09:47:38 · 928 阅读 · 2 评论 -
持续交付/持续部署流程主要系统构成(CD)
熟悉CI/CD平台使用的读者想必知道,在业界,CI/CD流程的平台产品通常是在一起的。也就是说很多产品具备持续集成能力的同时,也具备持续交付、持续部署能力。用一句话总结就是,CI流程是生产出可用的软件制品包;CD流程是将软件制品包部署到测试、生产等环境以达到用户需求。从CI到CD的流程在平台实现上很多能力是可以公用的,典型的能力如任务管理、编排调度、系统监控等。除了这些公共能力外,想要实现上述CD流程的平台化,通常包含镜像容器管理系统、配置管理系统、运维发布管理系统等几个系统。原创 2024-03-29 19:10:14 · 1498 阅读 · 2 评论 -
持续交付与持续部署相关概念(CD)
本文将继续带领大家了解持续交付与持续部署的相关知识,打通产品版本发布到线上持续运营的流程,逐步完成从产品规划到产品线上运营的全流程覆盖。本文以持续交付、持续部署为主线,继续讲述DevSecOps平台里黄金管道子系统中持续交付与持续部署两个流程涉及的相关概念、系统及平台,帮助大家完善DevSecOps平台里黄金管道子系统相关领域知识。原创 2024-03-29 09:02:31 · 1592 阅读 · 2 评论 -
持续集成流水线介绍(CI)
持续集成流程在DevSecOps平台中主要表现为持续集成流水线,在实际的平台建设中,这一段流程的线上化过程通常是分阶段、分步骤实现的。大多数情况下,首先实现的是代码管理到集成测试这一段的线上化,然后再通过安全左移,逐步完成整个持续集成到持续开发的线上化。今天来介绍两个构建持续集成流水线的场景,即基于GitHub Actions方案的公有云建设和基于Jenkins/GitLab CI方案的私有云建设。原创 2024-03-28 09:23:43 · 1878 阅读 · 2 评论 -
持续集成流程主要系统构成介绍(CI)
一个标准的持续集成功能通过平台来实现时,它至少包含如下三个部分:版本控制系统、编译构建系统、编排调度系统。当然,一个完整的持续集成平台,除了上述三部分系统之外,还涉及到企业配置管理数据库(CMDB)、资源管理系统、制品仓库等其他系统内容。今天我就带大家了解下持续集成平台包含的核心三部分系统的运行原理、流程和使用到的工具。同时也粗略描述下其他涉及的系统。原创 2024-03-28 08:45:12 · 1159 阅读 · 2 评论 -
持续集成与版本控制的相关概念
在前面文章介绍DevOps模型时曾提及持续集成的概念,是指通过持续地将需求转化为开发的代码,合并到源码仓库主干分支上,并确保代码合并后的集成测试通过的这一段流程,今天我们就来看下持续集成与版本控制的相关概念原创 2024-03-27 07:15:24 · 1392 阅读 · 3 评论 -
DevSecOps平台架构系列-互联网企业私有化DevSecOps平台典型架构
通过之前两篇文章对微软Azure和亚马逊AWS DevSecOps平台架构的简单介绍,想必大家已经明白,依托CI/CD的DevOps管道和云原生基础设施构建高度自动化的DevSecOps平台能力已是业界普遍共识。CI/CD提供应用研发自动化流水线,云原生基础设施代码化提供持续集成到持续交付的自动化,共同完成DevSecOps能力从需求到生产环境运营的全流程覆盖。介绍完两家头部互联网企业的公有云DevSecOps平台架构,下面一起来看看常见的互联网企业私有化DevSecOps平台架构。原创 2024-03-27 06:59:49 · 1201 阅读 · 3 评论 -
DevSecOps平台架构系列-亚马逊云AWS DevSecOps平台架构
亚马逊云AWS也是较早开展DevSecOps实践的头部企业之一,在2017年AWS的技术博客中就曾讨论如何利用AWS Pipline构建DevSecOps平台能力。下面,我将从AWS DevSecOps 实施原则、AWS DevSecOps 关键组件、AWS DevSecOps 安全组件、AWS DevSecOps平台架构等方面的内容,带大家一起来了解一下AWS的DevSecOps平台架构。原创 2024-03-26 08:02:17 · 930 阅读 · 3 评论 -
DevSecOps平台架构系列-微软云Azure DevSecOps平台架构
一般来说,采用DevOps来作为研发管理实践是为了加快从需求到应用程序上线的速度,缩短开发周期,通过一致性管理流程和自动化管道,保障应用程序的开发质量。Azure云也不例外,不同的是Azure云自己开发了一系列的DevOps服务或组件,用于应用程序开发生命周期的端到端管理,包括规划、项目管理、代码管理、制品生成、版本发布等。微软Azure云的DevSecOps是在Azure DevOps基础上构建起来的,今天就围绕Azure DevOps和黄金管道、Azure DevSecOps关键安全组件等内容来描述架构原创 2024-03-26 07:40:18 · 1450 阅读 · 3 评论 -
DevSecOps平台架构组成
既然DevSecOps平台建设的需求来源清楚了,那么,接下来以这些需求为出发点,介绍一个DevSecOps平台的基本架构组成。DevSecOps平台包含黄金管理、工具链、周边生态子系统,他们依托基础仓库,对基础设施资源进行调度和管理,一起组成了整个DevSecOps平台的全部。通过平台向用户提供涵盖规划、编码、构建、测试、发布、部署和维护等研发工作的平台能力,向平台管理者提供平台使用率、平台可用性、漏洞平均检测时间、漏洞平均修复时间、自动化覆盖率等管理数据。原创 2024-02-01 09:31:19 · 1285 阅读 · 4 评论 -
DevSecOps 平台需求来源分析
在正式介绍DevSecOps平台架构之前,先来介绍一下DevSecOps平台的需求来源,从业务源头了解为什么必须要建设DevSecOps平台这件事。在很多企业,当DevSecOps被当作企业战略的一部分时,是从企业的总体规划去考虑的。无论是在企业战略中提高安全的重要性,还是把安全性当成其他的质量指标,其本质仍然是通过流程化管理,加强不同开发团队之间的沟通与协作,保障输出产物的一致性和标准化,从而达到控制软件质量品质的目的。原创 2024-01-31 10:21:26 · 1140 阅读 · 3 评论 -
大中型企业DevSecOps建设
与中小型企业相比,大中型企业的DevSecOps建设明显要复杂许多。这种复杂度与业务规、业务种类、人员数量、组织分工等因素是息息相关的。面对这些复杂的因素,在开展DevSecOps建设时,通常采用PDCA管理思路来制定建设规划,跟踪规划落地进度,以推动DevSecOps安全建设,达到企业在安全领域的战略目标。原创 2024-01-31 09:42:33 · 1348 阅读 · 4 评论 -
中小企业开展DevSecOps建设内容介绍
中小型企业开展DevSecOps建设的不在少数,甚至部分企业在DevSecOps建设水平上已经远超大多数互联网头部企业。这是因为中小型互联网企业的业务特点和业务体量,决定了它们在DevSecOps方面的天然优势要强于互联网头部企业。下面,就来介绍中小型企业的DevSecOps建设规划。原创 2024-01-30 10:50:31 · 1038 阅读 · 4 评论 -
DevSecOps 建设规划之制定实际可达的演化路径
了解完DevSecOps基本概念、参考模型、成熟度模型之后,接下来来看看DevSecOps建设规划。一份细致的、做过详实调研后制定出来的建设规划才是切实可行的、务实的。在开展DevSecOps规划之前,首先需要判断当前所在的企业是否真的需要开展DevSecOps体系建设。接着,就需要制定切实可行的规划和分步建设的落地策略。做好这些工作之后,就可以按照计划去落地演进DevSecOps建设了。本期我们就来聊聊DevSecOps建设规划方面的内容。原创 2024-01-30 10:19:45 · 1162 阅读 · 3 评论 -
DevSecOps 度量指标介绍
介绍完DevSecOps成熟度模型,接下来来了解一下DevSecOps的度量指标。任何一家企业,当开始规划DevSecOps,推动DevSecOps在企业落地时,一定是通过管理流程和组织承载让DevSecOps相关的具体任务与管理指标保持一致,以运营管理的方式跟踪任务进度,以促进目标的达成。这其中,就需要用到DevSecOps度量指标。原创 2024-01-29 11:06:09 · 1066 阅读 · 1 评论 -
DevSecOps 成熟度模型介绍
成熟度模型通常被用来评估一个组织或系统实现持续改进的能力,通过创建评估机制,收集各类数据加以分析,以评估当前流程、技术及体系运转的有效性,借鉴成熟度模型的分层,确定当前建设水平,规划未来的改进方向,以促进体系运转的不断迭代和自我更新。在DevSecOps体系建设过程中,DevSecOps成熟度模型通常和体系参考模型一样,被用来规划和指导后续DevSecOps工作的开展。在业界,DevSecOps的成熟度模型除了前文提及的DoD的成熟度模型外,还有美国总务管理局GSA提供的DevSecOps平台成熟度模型原创 2024-01-29 10:55:08 · 1050 阅读 · 1 评论 -
DevSecOps核心流程基本组成分析
在前文讨论 DevOps时介绍了DevOps的管道和流程,不同的是前文仅仅从DevOps角度阐述。这里,再次从DevSecOps的角度,为大家讲述DevSecOps的核心流程。然后通过举例分析Azure DevSecOps核心流程经典场景实现,帮助大家理解DevSecOps的核心流程,Les't Go!原创 2024-01-28 13:35:00 · 1406 阅读 · 1 评论 -
DevSecOps 参考模型介绍
在 DevSecOps的发展过程中,从DevSecOps理论的出现,到如今 DevSecOps 大量实践的落地,先后产生了一系列与DevSecOps有关的模型,这其中比较有代表性的模型分别是:DevOps 组织型模型、Gartner 普适性模型、DoD 实践型模型。今天我们就一起来分析下这些安全模型。原创 2024-01-26 11:49:56 · 2055 阅读 · 2 评论 -
DevSecOps 发展历史概述
DevSecOps 概念在业界的提出已经有些年头,但一直不温不火,直到近些年云原生技术和自动化运维技术的发展,才使得DevSecOps变得火热起来。下面跟随我,我们一起来看看DevSecOps的发展历程,同时,分析一下影响DevSecOps发展的关键因素是什么?分析下未来DevSecOps的发展趋势如何?Let's GO!原创 2024-01-26 11:11:14 · 1184 阅读 · 2 评论 -
DevSecOps理论概述
网络空间安全是近几十年才逐渐兴起的行业,在行业发展的过程中,随着内外部安全环境的变化和从业人员对网络空间安全理解的加深,先后出现了不同类型的安全治理框架,它们在不同的安全领域发挥着独特的作用,这些框架或标准模型在指导安全从业人员开展安全改进工作中起到了关键的作用。DevSecOps也是这样一个模型或框架,它是过去十几年,各大互联网企业在不断的安全实践中,总结失败经验,寻找成功路径,逐步形成的一套被业界所认可的契合互联网企业业务模式的安全工程实践。原创 2024-01-25 12:07:33 · 1063 阅读 · 1 评论