Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >RSA 亮点播报|揭秘DevSecOps真容

RSA 亮点播报|揭秘DevSecOps真容

作者头像
安恒信息
发布于 2018-04-26 09:09:18
发布于 2018-04-26 09:09:18
6370
举报
文章被收录于专栏:安恒信息安恒信息

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

美国西海岸时间2018年04月16日,是RSA大会开幕的一天,主会场的展厅都还在布置中,因此小编的重点在创新沙盒和分论坛。其实比较让人感觉有新意是针对DevSecOpsDevops Day,一天的会议,都是各路专家来讲述对这个新兴概念的判断。

“DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。

看到这个概念,您的第一反应是“安全运维”,是不是新瓶装旧酒呢?确实一直以来,不论从主机安全还是到网络安全,很多工作都是安全运维的交集,既涉及到安全,同时也涉及到运维,没有运维足够的支持很多安全工作也比较难开展。但是在本次培训中,您会发现最初的理解实际比较片面,刚才提到的并不是真正DevSecOps所要传达的理念,DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题;通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全属性嵌入到整条流水线。

这个与Gartner2017宣传的DevSecOps的理念的完全一致的

同时容器技术的发展,也为DevSecOps的发布过程,解决了灰度发布,快速更新等以前很难实现的难题。

本次参与展览的aqua,Twistlock,Tufin都是容器安全方面的新锐,通过将原有的安全策略管理技术和容器技术配合,打通整个安全的闭环。

其中Fannie Mae最近告诉我们: “历史上,安全团队从开发团队中分离出来,每个团队都在不同的IT领域拥有深厚的专业知识 。“其实不需要这样。关心安全的企业也非常关心通过软件快速交付业务价值的能力,这些企业正在寻找方法,将安全性留在应用开发生命周期内。通过在整个CI / CD中集成安全实践,工具和自动化来采用DevSecOps。”

她说:“为了做到这一点,他们正在整合团队。安全专业人员将从应用开发团队一直嵌入到生产部署中。” “双方都看到了价值,每个团队都拓展了他们的技能和知识基础,成为更有价值的技术专家。正确的DevOps或DevSecOps ,提高IT安全性。”

IT团队的任务是更快,更频繁地交付服务。DevOps成为一个很好的推动因素,部分原因是它可以消除开发和运营团队之间的一些传统冲突,Ops通常在部署之前被排除在外,而Dev将其代码丢在无形的墙上,从来不进行二次管理,更没有任何的基础设施维护责任。说得委婉一些,在数字化时代,这种孤立的做法会产生问题。如果安全是孤立的,也会存在类似的问题。

我们采用DevOps,它被证明可以通过扫除开发与运维之间的障碍来提高IT的性能。“就像不应该等到部署周期结束才开始运维一样,也不应该等到最后才考虑安全问题。”将DevSecOps看作是另一个流行语是一种诱惑,但对于安全意识强的IT领导者来说,这是一个实质性的概念。安全必须是软件开发流程中的“一等公民”,而并非最终步骤部署,或者更糟糕,只有在发生实际的安全事件后才受到重视。

“企业DevOps文化意味着开发人员能够以更快的速度向生产环境提供功能和更新,特别是当自组织团队更加乐于协作和衡量结果。”CYBRIC首席技术官兼联合创始人Mike Kail说。

在采用DevOps的同时,保持原有的安全实践的团队和公司会遇到更多的管理安全风险的痛苦,因为DevOps团队会部署地更快、更频繁。 目前,手动测试安全方法逐渐落后,利用自动化和协作将安全测试转移到软件开发生命周期,从而推动DevSecOps文化,这是IT领导者提高整体弹性和交付安全保证

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-04-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
DevSecOps史上最强解释
如果大家有需要帮忙推荐的工具、框架、应用、脚本可以在文章下方留言,留言中被点赞、推荐回复较多的,波哥就会帮各位提前安排哦!
IT运维技术圈
2025/01/07
5440
DevSecOps史上最强解释
快速了解DevSecOps:构建安全软件开发的基石!
「软件供应链是将“原材料”(代码)进行加工(修改、编译等)交付(分发或再分发)给用户的过程。」 「软件供应链安全指在软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道安全的总和。软件供应链因其复杂多样且攻击简单的特点,极易成为攻击者的攻击目标」
DevOps在路上
2023/08/29
9630
快速了解DevSecOps:构建安全软件开发的基石!
RSA 创新沙盒盘点| WABBI — 面向应用全生命周期的安全防护方案
WABBI成立于2018年,总部位于美国波士顿州,该公司专注于SecDevOps领域,通过旗下的SecDevOps产品可使企业能够更快、更安全的将软件进行交付,目前公司人数大约20-30人左右,公司的首席执行官兼创始人为BrittanyGreenfield[1],毕业于杜克大学,并在麻省理工学院读取了MBA,单从其工作履历来看,该创始人从事的多为市场营销相关领域,与信息安全领域并无太多交集,但优势在于对现有软件市场有着较深理解,并在DevOps方向有着前瞻性的研究,2019年5月份,该公司已经筹集了33万美元的第一轮融资,投资者以Underscore VC[2]公司牵头,Douglas Levin[3]、Ashley Smith[4]等人也参与了此轮融资。
绿盟科技研究通讯
2021/06/10
6000
RSA 创新沙盒盘点| WABBI — 面向应用全生命周期的安全防护方案
从SDL到DevSecOps:腾讯云是如何更早地收敛安全漏洞的?
导语 | 随着互联网技术的不断迭代更新,信息安全领域的内涵也在不断发展,安全研发技术的地位也愈加凸显。本文作者来自腾讯安全云鼎实验室,新近参与了《研发运营一体化(DevOps)能力成熟度模型》等安全部分标准制定,此次来和大家分享他对研发安全以及DevSecOps的理解和实践尝试。 随着云计算被普遍运用,微服务等基础架构的成熟,同时企业业务高速发展带来的对开发运维更高效的要求,企业开发运维模型也从传统的瀑布模型演变到敏捷模型再到DevOps。 而安全模型也随之改变,但其核心一直都是贯穿始终以及更前置的安全。
腾讯大讲堂
2020/06/09
2.3K0
将安全融入软件开发的每一步 | DevSecOps
在互联网技术迭代加速的今天,DevOps中的安全实践已从辅助性需求逐渐升级为核心关注点,由此催生了DevSecOps理念的深化发展。其核心在于将“安全性左移”贯穿软件开发生命周期,使安全措施成为研发流程的基础构成要素。
陈哥聊测试
2025/06/19
970
将安全融入软件开发的每一步 | DevSecOps
改进DevSecOps框架的 5 大关键技术
Markets and Markets的一项研究显示,全球DevOps的市场规模从2017年的29亿美元增加到2023年的103.1亿美元,预测期的年复合增长率(CAGR)为24.7%。人们对DevOps越来越感兴趣,因为DevOps不仅能够压缩软件的交付周期,还能提高交付的速度和质量。
陈哥聊测试
2022/03/07
4470
从优秀到卓越,2020,DevOps 路在何方
DevOps 的历史要从一个比利时的独立IT咨询师说起。这位咨询师的名字叫做Patrick Debois,他喜欢从各个角度研究IT组织。2007年,Patrick参与了比利时一个政府下属部门的大型数据中心迁移的项目。在这个项目中,他负责测试和验证工作。所以他不光要和开发团队(Dev)一起工作,也要和运维团队(Ops)一起工作。
顾黄亮
2020/06/25
4420
从优秀到卓越,2020,DevOps 路在何方
给DevOps加点料——融入安全性的DevSecOps
从前,安全防护只是特定团队的责任,在开发的最后阶段才会介入。当开发周期长达数月、甚至数年时,这样做没什么问题;但是现在,这种做法现在已经行不通了。采用 DevOps 可以有效推进快速频繁的开发周期(有时全程只有数周或数天),但是过时的安全措施则可能会拖累整个流程,即使最高效的 DevOps 计划也可能会放慢速度。
陈哥聊测试
2020/09/07
4860
如何使用安全即代码实现DevSecOps
了解什么是安全即代码以及 SaC 如何帮助实现 DevSecOps 并向左移,以确保在 SDLC 的每个阶段都解决安全问题。
云云众生s
2024/10/11
1670
如何使用安全即代码实现DevSecOps
DevSecOps:应当做好的十件事
本文介绍的便是《DevSecOps:初入江湖》中提到的《Gartner 2017调研报告》原文。
0xtuhao
2022/06/21
4370
DevSecOps:应当做好的十件事
4637字,看懂从DevOps到DevSecOps的进化之路
维基百科上,DevOps(Development和Operations的组合词)是指一种重视软件开发人员(Dev)和IT运维技术人员(Ops)之间沟通合作的文化、运动或惯例。通过自动化软件交付和架构变更的流程,使构建、测试、发布软件能够更加快捷、频繁和可靠。
IT阅读排行榜
2022/01/20
8370
4637字,看懂从DevOps到DevSecOps的进化之路
DevSecOps的三种解读
DevSecOps现在是一个热门词汇,我喜欢它,也讨厌它。 我喜欢它,因为它具体化了美国证券交易委员会行业(包括我在内)多年来一直试图实现的一个目标——让开发人员拥有自己的安全性。这个简单的流行语给我们的使命举起旗帜,帮助它鼓足动力,推动它成为一种常态。 讨厌它,因为,就像所有的流行语一样,它没有正确地反映出这漫漫旅程背后的高度复杂性。安全性是一个广泛的主题,涉及基础设施、应用程序代码、网络堆栈、第三方供应商,当然还有人员。追求安全的方式涉及很多细节,但流行词没有怎么考虑这些细微差别。于是就难免不同的人用它
程序你好
2018/07/20
5920
从混沌到体系化——DevSecOps在腾讯云的落地实践
随着云计算被普遍运用,微服务等基础架构的成熟,同时企业对开发运维提出更高效的要求,敏捷开发运维(DevOps)这种提高研发效能,节省成本,最终更快捷实现产品交付并提示产品质量的模式被得到推广和应用。敏捷开发运维的应用,其天生的敏捷性与传统较为缓慢的安全体系的冲突给安全也带来了挑战,如何有效解决这个问题,Gartner在2012年也提出了“DevSecOps”的概念,人人为安全负责,让业务、技术和安全协同工作以生产更安全的产品。 “高速交付”结合“安全编码” DevSecOps引领新时代     Dev
云鼎实验室
2020/05/20
1.6K0
如何破解DevSecOps实施三大挑战?
根据GitLab发布的2021年全球DevSecOps年度调查报告,36%的受访者团队已经使用了DevOps或者DevSecOps开发软件,尤其是那些迁往云平台的新兴应用,DevSecOps的应用得到更多普及机会。
科技云报道
2022/04/16
2960
如何破解DevSecOps实施三大挑战?
DevSecOps: CI/CD流水线中增加安全
DevOps的兴起改变了软件开发的前景。但是,尽管大多数参与软件构建过程的团队已经在利用这些方法,但是软件安全性仍然落后。
DevOps云学堂
2020/01/16
1.6K0
DevSecOps: CI/CD流水线中增加安全
DevSecOps: 让大家都 Happy 的安全软件构建模式
如何用听起来很长、实践起来很难的DevSecOps,帮大家很happy地把安全软件构建出来。
火线安全
2022/03/25
5370
DevSecOps: 让大家都 Happy 的安全软件构建模式
如何才能成为一名 DevOps 工程师?
就目前的 IT 市场而言,DevOps 领域是 IT 从业者薪资和职业发展的最佳选择之一。也因此,我经常会被问到的一个问题就是:“如何才能成为一名 DevOps 工程师?”在本博客中,我将尝试用自己在
CloudBest
2021/07/13
1K1
如何才能成为一名 DevOps 工程师?
DevOps、DevSecOps 和 SecDevOps 提供了不同的优势
DevOps 提供效率和速度,而 DevSecOps 将安全措施集成到软件开发生命周期的每个阶段。然而,为了更好地理解 DevOps 与 DevSecOps 的区别,需要进行更深入的检查。
云云众生s
2024/03/28
2760
2025带你看清DevSecOps的发展背景、现状及未来趋势和最佳实践
DevSecOps的概念在2012年由Gartner首次提出,并逐渐受到国内企业的追捧。随着数字化转型加速和企业上云进程的推进,敏捷开发模式使软件开发生命周期缩短(几天到几周),留给安全的时间越来越短,因此必须在DevOps中有效地融入安全,即DevSecOps。业界已经达成一种共识,即DevSecOps是DevOps发展的必然结果。
软件供应链安全工具推荐
2025/02/21
3590
2025带你看清DevSecOps的发展背景、现状及未来趋势和最佳实践
DevSecOps:初入江湖
DevSecOps是2017年美国RSA大会新出现的一个概念,大会甚至专门为这个概念和方向设置的议题和讨论会。DecSecOps是一种全新的安全理念与模式,即“每个人都对安全负责”,从DecOps的概念延伸和演变而来,其核心理念安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障,通过加强内部安全测试,主动搜寻安全漏洞,及时修复漏洞、控制风险,实现与业务流程的良好整合。来自Garnter研究公司的分析师David认为,当今的 CIO 应该修改 DevOps 的定义,使之包括安全理念变成为 DevSecOps。DevSecOps是糅合了开发、安全及运营理念以创建解决方案的全新方法”。
0xtuhao
2022/06/21
5040
DevSecOps:初入江湖
相关推荐
DevSecOps史上最强解释
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档