DevSecOps如何提高应用程序安全性？

文章来源：infoq啸天

什么是DevSecOps

在软件行业，DevSecOps是一种文化转变，它将安全实践集成到DevOps过程中。DevSecOps需要在开发团队和安全团队之间建立一种“安全即代码”的文化。然后，安全过程由开发团队自己进行处理和自动化。

在传统的软件开发中，开发人员每隔几个月或几年发布一个新版本的应用程序，以提高软件质量和进行安全测试。然而，公有云、容器和微服务架构的兴起对软件开发产生了直接影响，新特性和新代码快速地不断引入到产品中。这些过程大多都是自动化的，这样公司就能够更快地创新，和在竞争中保持领先地位。

DevOps文化代表了开发团队、测试团队和运维团队之间的共同身份，以及对共同目标的认可。这允许大量的软件开发，但安全往往落后，并且无法跟上新的代码更新速度。DevSecOps试图成为一种解决方案，它可以将安全测试集成到持续集成和持续交付管道中，并使开发团队能够在开发过程中进行测试和修复。

在DevSecOps中，开发团队正在进行安全测试。因此，在测试期间发现的任何问题都由同一个开发团队管理和修复。

在DevSecOps中，开发和安全没有分离。

集成测试可能是一个挑战，因为开发人员必须学会自己修复与安全相关的缺陷，这可能需要时间。一种方法是在开发团队中找到应用程序安全方面的专家，尽管目标是让整个团队都了解安全编程实践。

但是，开发团队仍然可以联系安全测试人员以获得专家意见，因为有些任务可能需要安全专业人员手动测试。但这应该是一个特殊的情况，而不是有一个完全不同的团队专注于安全。

开发和安全之间的这种集成也需要在管理层进行，这样才能完全成功。否则，从上到下没有对齐，可能会导致管理层冲突。

为此，开发人员为开发人员创建了一些新的工具，并将其集成到开发环境和CI/CD工作流中。多年来，传统的应用程序安全供应商已经改变了他们的产品，以适应CISO和开发人员。某些为开发人员设计的基于云的服务提供商（例如GitHub）开始将安全测试直接包含到他们的服务中。

越来越多的公司开始在CI/CD管道中集成自动化安全测试，尽管这可能是一个缓慢的过程。?

最终，DevSecOps应该能够减少代码中存在的严重漏洞的数量。

添加站长进交流群

领取专属 10元无门槛券

私享最新 技术干货