7个关于DevSecOps的认知错误 许多企业都在犯

长期以来，DevOps 团队和安全团队在软件交付上存在一定分歧，DevOps 团队历来将安全团队视为软件发布的“预防”角色，采用过于保守的方法来降低威胁。同时，安全团队认为加速软件发布给治理、安全和监管控制带来了太大的风险。为了调和这两者，许多组织试图通过在开发过程的早期就实施安全措施来改变软件的安全性和合规性。

虽然这种有限的 DevSecOps 方法确实提高了软件的交付质量，但它不足以解决全部问题。一些具有前瞻性思维的企业已经意识到，仅仅将安全性和合规性左移是不够的，他们需要将其转移到任何地方。

通过在端到端的自动化过程中嵌入安全和合规流程，企业可以保护整个软件供应链，显着改善开发人员体验，并加快更安全的交付。为了实现这一目标，企业需要认识到并克服一系列阻碍他们做出转变的DevSecOps误区。

误区1：安全性和合规性是软件交付过程中的一个环节。

现实：许多企业将安全和合规要求视为单独的事件，因此会将整个开发团队从原本连贯的项目中抽出来，专门去应对审计需求，这种方法会显着增加企业的合规成本。如果从一开始就没有考虑到安全性，那么安全团队就会花费更多时间回过头来解决问题，而这些时间不会为组织增加生产价值。当安全性和合规性贯穿整个开发流程时，它们才是最有效的。

误区2：添加更多工具将有助于解决安全性和合规性挑战。

现实：虽然工具肯定可以帮助提高安全性和合规性，但通常还需要更多的人来操作这些工具并分析结果，然后，项目经理凭借这些结果来为开发人员拟定工作优先级。更多的工具意味着复杂性的增加，通过分析评估并提供企业安全和风险状况的整体视图，选择一个恰当、全面的解决方案，而不是一组缺乏连贯性和逻辑的工具，将会更有效。

误区3：为开发人员提供安全和合规培训就可以防止违规。

现实：开发人员绝对应该关注安全性，DevSecOps 一直强调安全是每个人的责任，但是，术业有专攻，开发人员更专注的是创新和研发，而不是运行测试或拆解监管框架，期望开发团队在本质工作之外同样高标准地处理安全问题容易扼杀创新和滋生抱怨，并且安全效果令人担忧。

误区4：让安全专家加入 DevOps 团队就可以应对挑战。

现实：在开发流程闭环内有专门的安全专家有助于让开发人员自由地进行创新，但是，这种方法仍然会对开发人员造成干扰甚至中断，并持续加深两个团队之间的裂痕。

误解5：我的公司太小不起眼，不会成为网络攻击的目标。

现实：数据泄露给企业机构造成的平均成本高达数百万，并且还在迅速上升。在这样的暴利面前，没有哪家企业会感到高枕无忧。所有规模和行业的企业都会面临风险，需要认真对待安全问题。

误区6：如果实现了自动化，就是安全且合规的。

现实：自动化是安全性和合规性的关键，但许多自动化工具是过程点位的解决方案，而不是端到端的自动化。如果企业部署的工具实现了部分环节的自动化，那么这些部分将更加安全。但是如果自动化的是整个流程，那么整个流程将更加安全。

误区7：拥抱 DevSecOps 就足够了。

现实：要解决开发团队和安全团队之间的隔阂和屏障，不仅仅需要彻底检查软件生产交付的流程，整个组织的文化也需要彻底改革。是的，安全需要成为每个人的关注点和义务，但创新和生产力也需要成为所有团队的优先事项。

端到端的安全

通过端到端的软件交付解决方案将安全性转移到任何地方，让组织从一开始就嵌入安全性，并贯穿于整个流程。高级的DevSecOps 支持自动化安全和合规性测试，同时强制使用经批准的组件。

端到端自动化能够限制由于人为错误而引入的安全漏洞，而且如果确实出现了问题，将更容易在交付受损代码之前找到并修复问题。访问控制也是自动化的，可以管理谁可以进行更改以及何时进行更改，确保没有人在不被注意的情况下意外更改关键组件。

启用渐进式交付

端到端软件交付解决方案允许逐步交付软件，以加速安全可靠的发布。渐进式交付以滚动方式引入新代码，而不是通过瀑布流方式发布。这种方法通过小规模测试代码来降低风险，并能够快速回滚出现的任何问题代码（功能管理）。这种模式将软件发布转变为具有可信治理的渐进式低风险过程，并在生产中发生严重事件时提供“终止开关”。

渐进式交付也为开发人员提供了更多的创新自由。在低风险的软件发布环境中，他们可以在更灵活的时间表上以更少的风险进行更多的试验。开发团队需要创造空间；安全团队需要治理空间，这种模式可以让产品更快更好地推向市场。

高效完成DevSecOps建设

借助跨越开发、安全和运营的共享平台，组织可以对整个系统的开发过程进行高级控制并保证可见性，三个团队对整体的数字业务有共同的认知和理解，使大家能够以充分知情和信息同步的视角进行创新。

安全419了解到，悬镜安全通过一套DevSecOps智适应威胁管理体系提供威胁建模、风险发现、威胁模拟、检测响应在内的的全生命周期安全解决方案，从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁，实现快速地部署、安全地构建、持续地监控，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。

默安科技建立了雳鉴软件开发全流程安全框架，全线产品可与Jenkins等CI/CD工具链集成，让客户在CI/CD平台中进行安全测试、跟踪结果，并支持与JIRA、禅道等项目管理平台集成，实现漏洞的持续跟踪和闭环管理，保证开发效率的同时，提升软件自身安全性。方案注重以“赋能”的形式建设和提升客户团队自身的安全能力，逐步降低对第三方服务的依赖，从长远看显著降低安全建设成本。

DevSecOps不仅仅是工具，更是关于人、过程和技术的结合，开发团队通过轻量级威胁建模和自动化的安全检查，在保证开发效率的同时提高了生产质量；当安全团队与开发团队通过自动化流程进行合作时，沟通成本和工作量会显著降低，应用安全性会显著提高；当运营团队深入了解他们部署的应用程序和容器中使用的组件及其脆弱性时，他们可以提前进行风险规避处置，避免先亡羊再补牢。最终促进团队协作，实现全员共赢。