什么是 DevSecOps？

DevSecOps 是 DevOps 实践的自然演进，其重点是将安全集成到软件开发和部署流程中。

DevSecOps 一词代表了开发（Dev）、安全（Sec）和运营（Ops）实践的融合，强调了安全在整个软件开发生命周期中的重要性。

DevSecOps 的需求源于人们认识到，传统的安全方法通常涉及后期安全测试或人工安全审查，不足以应对现代软件开发日益增长的复杂性和速度。DevSecOps 通过在整个开发生命周期中尽早并持续地集成安全实践，旨在增强软件应用程序的安全态势，同时保持敏捷性和创新性。

下图显示了 DevSecOps 的重要概念。

01 自动安全检查

使用工具自动进行安全检查和扫描。这些工具包括静态应用程序安全测试 (SAST)、动态应用程序安全测试 (DAST) 和依赖性扫描。

02 持续监控

确保对应用程序进行实时监控，以检测和应对威胁。这包括监控系统日志、用户活动和网络流量，以发现任何可疑活动。

03 CI/CD 自动化

持续集成和持续部署（CI/CD）管道可确保在部署前自动测试、构建和部署代码变更。将安全检查集成到这些管道中可确保在部署前检测并解决漏洞。

04 基础设施即代码（IaC）

使用代码和自动化来管理和配置基础设施。Terraform 和 Ansible 等工具可用于此目的，确保在这些脚本中遵循安全最佳实践。

05 容器安全

随着容器化越来越普遍，确保容器镜像和运行时的安全性至关重要。这包括扫描容器映像以查找漏洞并确保运行时安全。

06 秘密管理

确保 API 密钥、密码和证书等敏感数据的安全存储和管理。HashiCorp Vault 等工具可帮助安全地管理和访问秘密。

07 威胁建模

定期评估和模拟应用程序面临的潜在威胁。这种积极主动的方法有助于了解潜在的攻击载体并加以缓解。

08 质量保证 (QA) 集成

在整个开发周期中嵌入质量检查和测试，而不仅仅是在开发后阶段。

09 协作与沟通

促进开发、运营和安全团队之间的有效沟通与协作。

10 漏洞管理

除扫描外，还可对发现的漏洞进行系统管理、优先排序和补救。