首頁 > 信息安全 > 正文

DevOps成熟度與安全性的關系

2019-05-17 14:45:46  來源:安全牛

摘要:現在很多組織機構已經將DevOps納入其數字化的一部分。這一過程對每個公司來說都不一樣。事實上,組織機構已經開始接受DevOps,并且已經在初始部署中各自投入了不同的時間和預算。
關鍵詞: 安全
  現在很多組織機構已經將DevOps納入其數字化的一部分。這一過程對每個公司來說都不一樣。事實上,組織機構已經開始接受DevOps,并且已經在初始部署中各自投入了不同的時間和預算。
 
  這種多樣性有助于幫助組織機構根據其策略和當前能力塑造其DevOps成熟度。舉例來說,在IDC的應用服務調查中,超過15%的受訪者表示,他們的組織機構目前正在IT和少數業務線(LOB)單元內改進和標準化 DevOps功能。相比之下,10%的受訪者表示,他們的組織機 構正在定期改進DevOps策略和功能,因為它適用于所有IT和LOB資產。
 
  這些發現本身就具有指導意義,它們提出了一個重要的問題:DevOps的成熟度究竟是什么?在本文中,我們將詳細探討這個主題。我們還將展示DevOps成熟度與DevOps安全性的聯系。
 
  明確DevOps成熟度
 
  “DevOps成熟度” 這個術語用于表示組織在部署DevOps過程中完成了多少工作,以及還有多少工作尚未完成。根據CA Technologies的說法,組織機構可以通過四個方面來衡量他們的DevOps成熟度。他們包括:
 
  1. 文化和策略:DevOps是一種文化轉變,因為它消除了邊界,將開發團隊和運營團隊聚集在一起。如果要長期取得成功,這種過渡需要進行仔細規劃。
 
  2. 自動化:自動化統一了工具,使團隊可以共享它們。例如在DevOps中,自動化促進了持續交付和持續部署。自動化還可以使團隊變得具有創造性,不浪費時間處理各種重復的任務。
 
  3. 結構和流程:現代企業從事件響應系統到通信工具,在方方面面都具有流程。因此,也難怪流程在DevOps中占有重要地位。
 
  4. 協作和共享:員工可能分布在世界各地,但是他們仍然需要能夠彼此合作來支持DevOps文化。這種協作要求員工調整其工具和資源。
 
  這些因素在DevOps成熟的每個階段都相互作用。
 
  一般來說,組織機構可能會發現自己處于以下四個階段之一:
 
  1. 無意識不勝任(Unconscious Incompetence)
 
  處于這個階段的組織機構不理解DevOps是什么,因此無法抓住它的業務優勢。因此,上述4個因素在此階段都沒有什么體現。
 
  2. 有意識不勝任(Conscious Incompetence)
 
  在開始部署DevOps的12到18個月內,組織機構通常會試圖利用DevOps的很多自動化組件來實現流程的自動化。也就是說,團隊通常還是獨立執行大部分工作。幾乎沒有涉及到協作和資源共享。
 
  3. 有意識勝任(Conscious Competence)
 
  在開始部署DevOps的四年內,組織機構已經成功完成了他們想要的自動化。然后,他們開始關注如何改進平臺之間的協作,并構建一個平臺來提高開發團隊和運營團隊之間的資源和工具共享效率。
 
  4. 無意識勝任(Unconscious Competence)
 
  組織機構已經建立了強大的DevOps文化,能夠通過標準化結構和明確的共享工具和資源的流程,支持團隊之間的深入協作。
 
  與DevOps安全性的關系
 
  DevOps成熟度程度直接關系到組織機構是否能更快速地發布更優質的軟件。隨著組織機構DevOps越來越成熟,這種數字創新速度會變快。這也就意味著,除非這些軟件交付觸碰到安全措施,事后的保護措施幾乎總會延遲部署鏈。
 
  因此DevOps的成熟度不可避免地迫使組織重新考慮其安全實踐。這一步涉及將安全性轉移到DevOps中,使其更接近應用程序本身。通常,成熟組織機構中的DevOps團隊會與安全人員一起工作,在軟件開發生命周期的早期階段中構建其安全性 。他們甚至可以使用容器持續交付安全補丁,并限制惡意攻擊者通過一次攻擊可以破壞的資源數量。
 
  這種協作對于發揮成熟DevOps的安全優勢至關重要。正如一篇博客中的Dark Reading筆記所寫:
 
  安全團隊和DevOps團隊可以共同努力保護基礎架構。安全團隊成員不必完全了解所有開發工具——他們可以專注于分享安全原則和策略,并將其應用于新的開發工具中。如果DevOps團隊和安全團隊實現了集成了本地DevOps工具的容器安全平臺,那么他們可以更好地學習如何以新的方式合作,以及如何使用彼此的語言。
 
  然而實現這種級別的協作并不容易。Gurpreet Sachdeva在State of Security的一篇文章中解釋了組織機構需要如何找到一種方法,在不影響速度和敏捷性的情況下將安全性嵌入DevOps生命周期中。他們還需要通過有效溝通幫助協調各種相互沖突的開發目標,包括希望軟件盡快發布和希望解決所有漏洞。

第二十八屆CIO班招生
法國布雷斯特商學院MBA班招生
法國布雷斯特商學院碩士班招生
法國布雷斯特商學院DBA班招生
責編:kongwen
日本熟妇色在线视频