如何实施DevSecOps
时间:2022-03-06 17:46:02 | 来源:行业动态
时间:2022-03-06 17:46:02 来源:行业动态
可以想见,DevSecOps的实施将是一个复杂的流程。我们现在将这个流程拆解成以下几个具体步骤,虽然还没有任何具体的、连续的路线图式步骤设计,但其中大多涵盖以下环节。
首先,一切以规划为起点。规划的战略水平与简洁程度将直接决定最终实施结果。因此,单靠对功能特性的描述还远远不够,专家们还需要建立起测试验收标准、用户设计以及威胁模型。下一阶段则是开发环节,团队应首先对现有实践的成熟度开展评估。在此阶段,大家可以通过多个来源收集资源以作为路线指导,也可以建立起代码审查系统。由此支撑起的统一架构,将成为DevSecOps后期成功的重要基础。
之后则是构建环节,自动化构建工具无疑是这一阶段中绝对的主角。利用此类工具,我们可以构建脚本、将源代码组合为机器码等。自动化构建工具不仅提供多种强大的功能、丰富的插件库,还具备多种易于上手的用户界面,其中一部分甚至能够自动检测易受攻击的库并及时加以替换。下一步则是测试,通过稳定可靠的测试实践将强大的自动化测试框架全面引入管道当中。部署工作通常通过IaC工具进行,由其自动执行流程并加快软件交付速度。
作为另一大关键步骤,运营维护无疑是运营团队的一项常规职能。考虑到零日漏洞可能引发的巨大威胁,运营团队必须给予关注;此外,运营团队还需要重视人为错误蔓延,包括使用DevSecOps通过IaC工具快速高效地保护企业自有基础设施。流程中的另一项重要因素,在于使用强大且持续性的监控工具,借此保证安全系统能够按预期形式运行。
规模扩展同样不容忽视。虚拟化技术的出现,意味着企业不再需要浪费资源来维护大型数据中心。相反,一旦发生任何威胁,企业也可以直接扩展IT基础设施规模以消化突发冲击。
以上只是DevSecOps实施中的一些基础步骤。根据项目的具体规模与复杂性,路线图可能还需要涵盖另外一些特定附加步骤。
在线咨询
