做教学的视频网站,wordpress小工具推荐,公司网页制作需要哪些内容,微信网站模板目录 一、为什么要开展DevSecOps平台建设
1.1 产业发展的角度方面分析
1.2 企业内部角度分析
二、 DevSecOps平台建设需求来源
2.1 从外因看DevSecOps平台建设的需求来源
2.1.1 网络安全和数据合规在国内外快速发展
2.1.2 法规的落地促使安全管理的数字化和平台建设成为刚…
目录 一、为什么要开展DevSecOps平台建设
1.1 产业发展的角度方面分析
1.2 企业内部角度分析
二、 DevSecOps平台建设需求来源
2.1 从外因看DevSecOps平台建设的需求来源
2.1.1 网络安全和数据合规在国内外快速发展
2.1.2 法规的落地促使安全管理的数字化和平台建设成为刚需
2.1.3 频繁的网络攻击事件促使企业探索DevSecOps平台方案
2.2 从内因看DevSecOps平台建设的需求来源
2.2.1 企业管理者需要解决安全加入固有流程后给业务带来的影响
2.2.2 企业安全管理者引入DevSecOps增加安全能力/降低安全学习成本
2.2.3 企业中不同岗位角色对DevSecOps平台建设方提出需求 一、为什么要开展DevSecOps平台建设
在正式介绍DevSecOps平台架构之前先来介绍一下DevSecOps平台的需求来源从业务源头了解为什么必须要建设DevSecOps平台这件事。
在很多企业当DevSecOps被当作企业战略的一部分时是从企业的总体规划去考虑的。无论是在企业战略中提高安全的重要性还是把安全性当成其他的质量指标其本质仍然是通过流程化管理加强不同开发团队之间的沟通与协作保障输出产物的一致性和标准化从而达到控制软件质量品质的目的。
1.1 产业发展的角度方面分析
从产业发展的角度来看互联网发展到今天已经过了粗放的指数增长期正在走向平稳和规范化。在这样一个面向外部要增量越来越困难的大环境背景下面向内部要增量成为必需的选择。因此效能工程在过去的这几年在各个互联网企业也越来越受到重视。企业管理者意图通过效能工程实践建立现代化软件工作环境提高单位时间产出这使得DevOps及DevOps平台自动化能力建设成了众多企业的选择。当安全变得越来越重要之后DevSecOps及DevSecOps平台自动化能力建设也顺理成章地成了众多企业的选择。
试想一下如果你是企业的安全管理者在企业推动DevSecOps战略的落地没有DevSecOps平台如何能让不同的角色快速参与各项安全工作这些不同的角色参与DevSecOps工作后如何收集过程数据了解建设现状以帮助管理者正确决策如何制定下一步的持续改进策略。所以建设DevSecOps平台是一项刚需性的、关键性的工作。
1.2 企业内部角度分析
从企业内部来看安全工作涉及企业的方方面面DevSecOps能力建设也是如此。面对复杂变化、头绪万千的管理现状需要提纲挈领地落实关键的几件事建设一套平台和流程基于平台之上推动DevSecOps管理和运营促进工作更顺畅地开展。同时运营工作的开展也会反哺平台建设对平台提出更多的需求不断完善平台从而逐步达到体系化建设的目的。
在日常的研发生产过程中使用DevSecOps平台有着极大的优势。例如通过管道化的生产流程解决传统研发模式下多方协作的效率低下问题。依托平台既定的流程和SOP在线上开展日常工作原有的冲突和沟通将变得更为顺滑。管道化的生产流程和卡点设置对于不同的操作人员、不同技术水平的人员来说通过标准化的平台管理保证输出产物质量的一致性。尤其是管道化流程中嵌入的安全工具通过自动化操作和后台并行操作减少传统模式下安全工作介入后给研发过程带来的阻滞缩短了整体的交付周期。这些都是业务侧所期望的价值点。
当企业面对新的技术风险时通过DevSecOps流程和平台能力的构建在已有的平台和流程之上做增量的迭代和嵌入可以快速应对风险达到快速止损的目的。作为软件研发领域的一项最佳安全实践DevSecOps方法论及其平台建设可以帮助企业面对复杂的外部应用环境变化如云端应用、大数据应用、物联网应用等新技术引入消除了原有技术与原有角色的安全边界提升效能的同时也为业务安全赋能。这些都是企业开展DevSecOps平台建设的动力所在。
二、 DevSecOps平台建设需求来源
在DoD DevSecOps的文档中对DevSecOps平台建设两个强劲的需求推动要素有清晰的描述
通过持续化集成管道加快交付周期起到降本增效的目的。构建快速、自动化的安全响应能力以应对日新月异的外部安全形势变化。
作为美国国防部企业加快交付周期提供安全应急响应速度以应对不确定性风险是一个国防部企业的战略要求。对于普通企业而言要求没必要那么高但这两个原始需求依然具有广泛适用性降本增效是企业所需要的快速、自动化的安全响应能力与降本增效的可达成路径是一致的。下面就从外因和内因两个方面来介绍DevSecOps平台建设的需求来源。
2.1 从外因看DevSecOps平台建设的需求来源
2.1.1 网络安全和数据合规在国内外快速发展
近5年网络安全和数据合规在国内外快速发展。从《通用数据保护条例》GDPR开始各个国家竞相在数据安全领域立法国内先后颁布了《网络安全法》《数据安全法》《个人信息保护法》。同时为了配合这些法律的实施和落地监管部门加大了针对数据安全的打击力度合规通报事件、违法处置事件频频发生安全在IT产品中由辅助特性一跃成为刚需。企业为了应对强监管压力迫切需要构建与之相适应的安全能力以应对市场的快速变化。
2.1.2 法规的落地促使安全管理的数字化和平台建设成为刚需
而网络安全和数据合规的落地在企业内部开展一段时间的实践之后企业管理者开始认识到光靠几次运动式的专项整改无法解决这些问题必须体系化地建立安全团队和自动化流水线以保障IT产品出厂前的安全性。安全管理的数字化和平台建设随之成了最初的需求来源这时提倡拥抱变化和内生安全的DevSecOps理念也纷纷成为很多企业的首选。作为DevSecOps落地最佳实践的DevSecOps平台建设也随之进入议事日程。
2.1.3 频繁的网络攻击事件促使企业探索DevSecOps平台方案
除了合规之外越来越频繁的网络攻击也是众多企业开展DevSecOps平台建设的一个原因。根据绿盟科技和腾讯安全联合发布的《2021年全球DDoS威胁报告》显示全年DDoS攻击次数再次增长TB级流量攻击持续高升。同时深信服发布的《2021年度勒索病毒态势报告》也显示年度全网勒索病毒攻击超2200万次。面对DDoS和勒索病毒这种给业务系统持续带来破坏的网络攻击企业在受到攻击如何尽量减少损失如何通过业务扩容、主备切换、水平迁移、故障恢复等手段快速恢复业务能力保证业务系统的持续稳定成为部分企业急需解决的问题。而这类问题的解决通过DevSecOps平台的自动化能力来完成是非常合适的。
2.2 从内因看DevSecOps平台建设的需求来源
从企业内部看DevSecOps建设主要是看企业的安全战略。企业安全战略决定是否采纳DevSecOps理念企业安全战略指导着DevSecOps体系建设和DevSecOps平台建设的规划。
2.2.1 企业管理者需要解决安全加入固有流程后给业务带来的影响
在当前的安全形势下企业不得不在安全与收益之间做取舍它们都期望一种快速、经济、高效的安全交付模式解决安全加入固有流程后给业务带来的影响。而DevSecOps恰恰兼顾安全与速度在不牺牲必要安全性的前提下加快软件的交付使得代码更安全的同时成本也更低这必然获得企业安全管理者的青睐。
2.2.2 企业安全管理者引入DevSecOps增加安全能力/降低安全学习成本
作为企业安全管理者他们是DevSecOps平台建设的主需求方。他们在持续集成/持续交付管道之上增加安全能力构建可重复、自助的安全流程降低安全加入后带来的学习成本同时也降低了安全工作的操作门槛。以DevSecOps平台为基础数字化安全操作流程通过安全自动化和流程化促进开发、安全和运维等团队之间协作缩短安全缺陷处置周期这都是企业管理者乐于看到的。
2.2.3 企业中不同岗位角色对DevSecOps平台建设方提出需求
除了企业安全管理者之外其他参与DevSecOps工作的各个角色也会给DevSecOps平台建设方提出需求。例如架构师为了做好安全架构设计工作提出威胁建模工具建设和安全架构培训的需求开发工程师会经常抱怨代码安全扫描误报和漏报的问题促使DevSecOps平台建设方优化代码安全扫描策略运维工程师为了减少手工安全基线加固的工作提出自动化满足安全基线的需求等。这些不同的角色均是DevSecOps平台建设需求的来源。 好了本次内容就分享到这欢迎大家关注《DevSecOps》专栏后续会继续输出相关内容文章。如果有帮助到大家欢迎大家点赞关注收藏有疑问也欢迎大家评论留言
