背景:
在公司的Secdevops岗位干了一个多月,每天的工作就是集成产品,除了最直观的一些linux命令、docker使用、根据日志查找错误、看文档等能力以外,感觉并没有其他的一些长进。前几天积攒的要努力的想法今天终于是爆发了,从今天开始,下班后好好的学习一些知识,就从 Enterprise DevSecOps: New Series开始,好好地研读,增加对这个行业的了解。
1、基本原则
本章是DevSecOps中的一些概念,有些多,我选择用对比的方式进行进行总结吧。
1.1 导语
- 1、DevOps是一个
操作框架。其目的是通过自动化,促进软件一致性和标准,促进不同开发团队的沟通。框架的具体做法是解决了围绕集成、测试、打包和部署等困难的问题。 - 2、DevSecOps是将
安全团队和安全工具直接集成到软件开发生命周期中。利用DevOps的自动化和效率,确保每个构建周期都能进行安全测试。- 思考: DevSecOps就是利用DevOps的框架自动化的特点,将安全工具和安全团队集成到软件开发的SDLC中。
- 我们公司做的就是将安全产品集成到自动化部署的平台,利用CI/CD对软件进行测试。但是这里说的安全团队是什么,唐某缺乏经验暂时不能理解。
1.2 该篇文章的意图
关于如何组合一个DevSecOps程序
1.4 DevOps Vs DevSecOps
- DevSecOps难推进:
现象:支持DevOps的实践者认为Sec只是构建软件和软件交付的一组技能。他们的目标是打破团队间的隔阂、促进团队更好工作。
开发人员更可能支持,因为他们不擅长将安全产品进行集成。原因:1开发人员不懂安全产品和安全团队的集成。2、开发人员可以为代码的管理进行脚本编写,并构建模板来定义基础设施。但是安全从业人员很难在这个编码级别上提供自己安全的脚本或者模板。3、开发人员和安全人员比例为100:1,严重倾斜,导致开发过程中安全扩展能力与资源严重不足。
- 选择DevSecOps名字的原因:代码安全方面的安全工作与基础设施和支持组件的安全工作非常不同,如下,所以选择DevSecOps命名
- DevSec:用于验证应用程序的代码是安全的
- SecOps:用于验证支持基础架构是安全的
------------------2022/5/6 11:07 ---------------------------------------------------------
366
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
