DevSecOps标准解读
中国信通院云大所 牛晓玲
牛晓玲
中国信息通信研究院
云计算与大数据研究所 云计算部 副主任
DevOps标准工作组组长,DevOps 国际标准编辑人。长期从事云计
算领域开发运维研究的相关工作,包括云服务业务功能测试以及运维
管理系统审查等相关工作。参与编写《云计算服务协议参考框架》、
《对象存储》、《云数据库》、《研发运营一体化(DevOps)能力
成熟度模型》系列标准、《云计算运维智能化通用评估方法》等多项
标准20余项。参与多篇白皮书、调查报告等编制工作,包括《企业IT
运维发展白皮书》、《中国DevOps现状调查报告(2019年)》等。
参与评估DevOps能力成熟度评估超过40个项目,具有丰富的标准编
制及评估测试经验。
Ø DevOps的定义:“开发(Dev)”和“运维(Ops)”的缩写,是一组过程、方法与系统的统称,强调
业务人员及IT专业人员(开发、测试、运维等)在应用和服务生命周期中的协作和沟通;强调整个组织的
合作以及交付和基础设施变更的自动化,从而实现持续集成、持续部署和持续交付等的无缝集成。
Ø DevSecOps的定义:是将信息安全的框架整合到DevOps的工作流程中,研发、运营、测试、安全多个部门
紧密协作,在提升开发和运营敏捷性的同时,也保障了数据和服务的可用性与安全性。
什么是DevSecOps?
安全
概念
DevSecOps概念示意图
DevSecOps的由来
2012
Gartner的报告中首次提出了
“DevOpsSec”这个概念
2012年
2017
在RSA年度大会上“DevSecOps”成为
了热门词汇, 它是一种对DevOps的延
展,DevSecOps提出安全是每个人的责
任。
2017年
2017-至今
DevOps的落地实践带动了DevSecOps的兴
起,强调将信息安全的能力整合到DevOps
的工作流程中,各部门重视安全,提升开
发和运营敏捷性。
至今
>>传统开发模式中,安全介入较晚,且安全部门独立于
软件开发、运维部门。
关于DevSecOps的几点理解?
Ø 是一种安全的文化的渗透
Ø 是制度流程和工具的集合
Ø 是将安全性和合规性纳入软
件全生命周期的方法
Ø 是由学习和实践驱动的战略
Yes
Ø 不是一种一刀切的全能方法
Ø 不是单一工具或方法
Ø 不单是在持续交付中增加安
全性的手段
Ø 不是追求完美与合规的战略
No
部署应用程序的能力在规模和速度上都得到了改善,但安全方面的考虑却常常被忽略,
更倾向于快速满足业务需求。
依靠应用程序来保持操作运行,开发过程中的安全性是上线的最后阶段执行,应用程
序安全性必须加快以跟上软件开发的步伐。
