DevOps不仅仅是关于开发和运营团队

对于有助于在团队中建立安全知识的基本考虑因素，通常是在第一步中创建问题意识。特别是对于敏捷的工作团队，建立控制点非常重要。DevOps的自动化原理也有助于：有许多工具可以帮助消除手动任务，例如扫描漏洞或执行代码分析。

DevOps不仅仅是关于开发和运营团队。对于那些希望充分利用DevOps方法的敏捷性和响应性的人来说，IT安全性必须在整个应用程序生命周期中发挥不可或缺的作用。过去，安全在发展的最后阶段的作用仅限于特定的团队。这不像开发周期持续数月甚至数年那样有问题，但那些日子已经过去了。高效的DevOps可确保快速和频繁的开发周期(有时可在数周或数天内完成)，但过时的安全实践甚至可以回收最好的DevOps计划。

持续安全

在DevOps的协作框架中，安全性是一项共同的责任，从头到尾集成。这是一种非常重要的思维模式，有些人创造了“DevSecOps”这一术语，强调了在DevOps计划中提供安全基础的必要性。DevSecOps意味着从一开始就思考应用程序和基础架构的安全性。它还意味着自动化一些安全门以防止DevOps工作流减慢。选择持续集成安全合适的工具可以帮助实现安全目标，而是一个有效的DevOps安全需要的不仅仅是新的工具 - 它建立在DevOps的文化变化给安全小组的工作整合宜早不宜迟，

无论是“DevOps”还是“DevSecOps”，将安全性视为整个软件生命周期不可或缺的一部分始终是理想的选择。DevSecOps是关于内置安全性的，而不是用作软件和数据警察的安全性。当安全性首次到达开发流程的末尾时，使用DevOps的公司可以回到他们最初想要避免的长期开发周期。

DevSecOps强调需要在DevOps计划开始时邀请安全团队来构建信息安全并定义安全自动化计划。它还强调了帮助开发人员开展安全工作的必要性。此过程中，安全团队透明地分享对已知威胁的反馈和见解

，有助于相互理解。这也可能包括针对开发人员的新安全培训，因为他们并不总是成为传统应用程序开发的焦点。

内置安全性是什么样的?

一个好的DevSecOps策略首先要确定风险承受能力并执行风险 - 收益分析。给定应用程序中需要多少安全控件?各种应用程序的快速市场推出有多重要?自动执行重复任务是DevSecOps的关键，因为在管道中执行手动安全检查可能非常耗时。

此外，有必要促进孤立的团队之间更密切的合作。所有这些举措都从人的层面开始 - 具有商业合作的特殊性。这些应该下台并考虑整个开发和运营环境。这包括版本控制库，集装箱登记，持续集成和持续部署管道(CI / CD)，API管理(应用编程接口)，编排和发布自动化和运营管理和监控。新的

自动化技术帮助公司引入了更灵活的开发实践，并帮助推动了新的安全措施。

但自动化并不是近年来IT领域中唯一发生变化的事情：容器和微服务等云技术现在是大多数DevOps计划的重要组成部分，DevOps的安全性需要适应满足他们的要求。云原生技术不适用于静态安全策略和检查表。相反，安全性必须在应用程序和基础架构生命周期的每个阶段都是连续的和集成的：

标准化和自动化(供应，部署，修补)

中央身份和访问管理

集成安全扫描器的容器

CI管道内的自动安全测试

隔离微服务

传输级加密

检查已知漏洞

工具的使用 - 与其他领域一样 - 并不能代替背景。更重要的是，一个人处理背景并逐步进行。这个过程模型也很好地适应了变得越来越好的敏捷思维。为什么不安全?通过合理的努力，可以将Continuous Security作为Continuous Delivery的一部分来实施。在几乎所有方面，都可以考虑安全方面。因此，可以编写用户故事以进行强化，或者在技术要求中也可以考虑安全相关点。通常建议，特别是在较大的项目中，填补安全冠军的角色，并可能安排一个或多个安全冲刺。

创建安全准则

在创建用户故事时考虑安全性

执行代码扫描

由安全冠军进行同行评审

安排渗透测试

在团队中创建安全技术变得绝对必要。然而，首先，有必要创建问题意识。