安全、开发、测试,DevSecOps数字化创新框架 ----IDC信息简报
Analyze the Future 2020 年 10 月
摘要
目前,极速软件开发要求周期越来越短,随之带来的安全问题不容忽视,而事后再弥补安全问题的观点策略已经被淘汰。
为最大程度实现创新,安全问题刻不容缓。
组织需要在整个软件开发流程中进行持续的安全扫描和自动化测试。
安全开发运维一体化——即 DevSecOps——旨在使安全问题成为开发和运营的重中之重。
将安全扫描纳入软件流水线的每一阶段,这能够填补 IT 和安全之间存在已久的空白。它帮助团队更早地发现软件问题;并缓解安全瓶颈压力。同时,它能使 DevOps方式下提升的开发速度可以得以实现。
DevSecOps | dev-sec• ops
截至 2025 年,四分之三的 G2000 将成为
软件驱动创新的高性能大型生产商。
- 采取一系列实践做法,从软件规划到开发、交付及其他环节,将安全问题融入 DevOps 供应链的每个点
- 其理念是:改变以往事后再考虑安全问题的做法,在软件开发生命周期中,将安全问题共享至所有利益相关者,由他们考虑,并共同分担责任
- 安全即是代码的观念加快安全应用程序、服务和平台的创建和发布
全周期安全
DevSecOps 把安全纳入软件开发和交付周期中,就如同以 DevOps 的形式将运营加入相同的流程中一样。
人力:共担责任
DevSecOps 意味着无论是项目到项目还是公司范围内,所有利益相关者都对安全问题承担同等责
任。
流程:全周期安全
安全 DevOps 旨在实现连续的全周期安全,并摆脱事后通过测试处理安全问题的做法。
工具:全过程自动化应用
在可能的情况下,整合测试和自动化使团队能尽早发现安全问题。
效率和敏捷性是主要驱动因素
安全测试工具
关键总结
PS:软件的生命力在于创新和发展。在新形势新环境下,合理搭配使用工具软件,缩短周期,提高效率和安全性,对安全开发项目有着重要的意义。