DevSecOps:實現安全來自原始設計

如果有人問:現在有什麼技術正在對 IT 生態系統帶來革命性的改變?答案或許是物聯網、人工智慧、機器人或者某些逐漸浮現的創新技術。
13

如果有人問:現在有什麼技術正在對 IT 生態系統帶來革命性的改變?答案或許是物聯網、人工智慧、機器人或者某些逐漸浮現的創新技術。但是對於那些已見識過技術興衰的人們來說,下一個新事物並不是抽象或者需要花好幾年時間開發,而是一種推動今日全球 app 經濟的方法學:DevSecOps。

事實上,根據 Infoholic Research 調查,全球 DevSecOps ,也就是被熱議的開發、安全與營運市場將在未來幾年躍升,而亞太區特別是新加坡、日本、中國與印度對於 DevSecOps 平台的關注度越來越高。

DevOps 統合了軟體開發與營運,當成一種破除孤島的經營手段,促成更多改良和快速增加新功能,而 DevSecOps 則是強調從一開始就將安全性整合到開發流程之內。

DevSecOps 實質上實現了技術供應者經常掛在嘴邊的行銷金句:security by design 安全來自於最初設計。

DevSecOps 在 DevOps 世界的定位?
一如 DevOps 需要以一種新的思維擁抱新軟體開發方法,DevSecOps 要求在連續的整合與交付 (continuous integration and continuous delivery; CI/CD) 管線內將安全性設為優先。許多開發者並非安全專家,反之亦然。

隨著高度虛擬化,可自動化的雲端和容器平台的發展,這種交付方式的創新促進了典型企業中應用程式數量和功能的迅速增加。無論如何在何地方部署應用程式,它們都需要流量管理、內容路由、機器人防禦和 API 安全等應用程式服務的支持。大多數運行良好的 CI / CD 管道可以在最少的人工干預下處理應用程式代碼的整合和部署。但是,許多企業仍透過緩慢的網絡和安全策略的手動配置過程,來管理應用程式服務和策略。週期上的不匹配會導致應用團隊繞過公司安全和網絡策略,而傾向於快速發布代碼。

DevOps 是一種快步調且動態的環境,如何妥善的將安全性整合到軟體開發生命週期之內?這是一個需要檢視安全測試工具以及企業最佳實務方法的問題。

今天企業面對的 app 環境已演變得越來越複雜,app 不再能夠每年才做一次更新,而可能是每天都有更新的需要。DevSecOps 程序未必都是一直線,IT 部門需要深入研究他們的管線,了解資訊類型以及潛在的安全弱點才能成功。從使用的安全測試工具到安全團隊與客戶的盡早溝通,DevSecOps 確保 IT 與 app 安全性成為每一個人的責任。DevSecOps 不再是一個顯學,如何成功的跨越挑戰呢? 

安全重於速度
DevOps 人員投入 DevSecOps 後所面對的另一問題就是速度。例如,當部署應用安全工具之後,IT 團隊通常會預期出現較慢的執行時間。這項微小的缺點,或許會阻礙他們將安全性放在以速度和敏捷性為優先的地方,但是取消安全性並非選項。企業可以做的就是盡量設法減少增加時間。

有趣的是,CI/CD 管線事實上從未將安全性視為第一優先,而是強調速度與便利。隨著 DevSecOps 的出現,現在所有涉及的人員都有責任確保安全性成為開發程序的一部分。這種方法由於開發步調緩慢,或許會被視為是阻礙創新的絆腳石,但是將安全性視為第一優先的結果,IT 組織現在可以避免威脅造成損失和損害。

無縫 CI / CD 整合
可以通過驅動 CI / CD 管道的相同工具和流程自動提供高級安全保護和智能流量路由的應用程式服務。這樣,您的 DevOps 團隊可以利用現有的開發和部署管道,而不會減慢創新或增加公司風險。例如,F5 提供最廣泛的應用程式服務整合,透過與 Ansible, ServiceNow 與 GitLab 等常用工具整合,可以快速匹配所使用工具的工作流程,透過操作的靈活性讓團段無路在何地或何處部署,都會自動應用一致的應用程式服務。

DevOps 由於具備快速的本質而聚焦於功能改善速度,並將安全性當成一個整合功能。直到 DevOps 和 DevSecOps 變成同一件事之前,後者將扮演暫時的腳色,凸顯安全性在應用開發上的重要性。