安全团队需要了解DevOps

2017-03-10 07:45
网络安全和信息化 2017年3期
关键词:精益协作运维

引言: 有不少IT企业已经在利用或准备利用DevOps。随着DevOps成为主流,将安全问题纳入其范围就成为不可避免的选择。不管“开发安全运维(DevSecOps)”是否成为一个热词,安全及早地进入软件供应链都将是大势所趋。

什么是DevOps

虽然关于DevOps的定义还存在诸多争论,但是大家日益认同如下大原则:DevOps的存在是为了企业在竞争中获胜;根本问题是敏捷和精益;(协作性)文化非常重要;反馈是创新的激励因素;自动化可起到帮助作用;DevOps可谓是一种能够解决企业问题的要求协作性的敏捷方法,或者是一种要求协作精神和能力的帮助企业用信息技术来获得业务机会的敏捷方法。

敏捷开发是由于企业要求更快创新的压力而产生的。开发速度可以如同基础架构和运维所允许的速度一样快。因而,要求开发和运维更加紧密地协作的压力就是实施DevOps的推动力。

DevOps如何与安全性交织在一起?

各单位可以利用六原则来使安全支持其全部努力:

DevOps的存在是为了企业在竞争中获胜。虽然通过策略减轻风险仍是信息安全的重要组成部分,但企业需求对于这些策略来说也同样重要。企业必须和谐地明确和理解风险,同时,在协作中,安全部门和人员还要首先考虑如何使企业立于不败之地。

DevOps范围很广,但以IT为中心。在这个被数字化改变的世界中,IT位于变革的中心。但是IT并不是孤立的。公司的付出与人力资源、财务、运维甚至外部的供应商的结盟都是必要的。信息安全应当在企业的风险容忍度和合规要求的范围之内持续地努力减少其相互影响。

根本问题在于敏捷和精益。理解敏捷和精益原则可以极大地有利于帮助安全专家加入DevOps。安全必须努力地持续集成、交付和部署,并且减少软件供应链中的限制(如等待许可的时间)。

文化很重要。DevOps的关键要素之一就是协作。这是一种分享共同目标的文化思想,它代表企业而不是技术产品。安全必须强调协作努力从而减轻风险而不是游离在外的批评家。

反馈是创新的激励因素。实验和学习对于DevOps很重要,而这些要求充分的反馈,尤其是来自企业的反馈。这种反馈需要传达到每个人,由此才能进行重大改进和创新,但是它要求进行事后的讨论才能有所提高。企业必须避免安全文化成为DevOps中的一种责备文化。

自动化可起到帮助作用。自动化可以使交付更快和持续性更强,且质量更高。

工具可以极大地促进DevOps,但工具并不是基础。自动化并不强制协作性,但可使协作更容易。用于测试、认证、监视的安全工具应当包含在DevOps的工具链中,但是,为了更好地提高,其完成的结果应当广泛地共享。

猜你喜欢
精益协作运维
精益思想在海外工程项目中的应用
团结协作成功易
掌握核心技术 赢在精益制造
运维技术研发决策中ITSS运维成熟度模型应用初探
监督桥 沟通桥 协作桥
狼|团结协作的草原之王
风电运维困局
机加零件精益单元构建与应用
杂乱无章的光伏运维 百亿市场如何成长
协作