DevSecOps 平台需求来源分析

目录

一、为什么要开展DevSecOps平台建设

1.1 产业发展的角度方面分析

1.2 企业内部角度分析

二、 DevSecOps平台建设需求来源

2.1 从外因看DevSecOps平台建设的需求来源

2.1.1 网络安全和数据合规在国内外快速发展

2.1.2 法规的落地促使安全管理的数字化和平台建设成为刚需

2.1.3 频繁的网络攻击事件促使企业探索DevSecOps平台方案

2.2 从内因看DevSecOps平台建设的需求来源

2.2.1 企业管理者需要解决安全加入固有流程后给业务带来的影响

2.2.2 企业安全管理者引入DevSecOps增加安全能力/降低安全学习成本

2.2.3 企业中不同岗位角色对DevSecOps平台建设方提出需求


一、为什么要开展DevSecOps平台建设

在正式介绍DevSecOps平台架构之前,先来介绍一下DevSecOps平台的需求来源,从业务源头了解为什么必须要建设DevSecOps平台这件事。

在很多企业,当DevSecOps被当作企业战略的一部分时,是从企业的总体规划去考虑的。无论是在企业战略中提高安全的重要性,还是把安全性当成其他的质量指标,其本质仍然是通过流程化管理,加强不同开发团队之间的沟通与协作,保障输出产物的一致性和标准化,从而达到控制软件质量品质的目的。

1.1 产业发展的角度方面分析

从产业发展的角度来看,互联网发展到今天,已经过了粗放的指数增长期,正在走向平稳和规范化。在这样一个面向外部要增量越来越困难的大环境背景下,面向内部要增量成为必需的选择。因此,效能工程在过去的这几年,在各个互联网企业也越来越受到重视。企业管理者意图通过效能工程实践,建立现代化软件工作环境,提高单位时间产出,这使得DevOps及DevOps平台自动化能力建设成了众多企业的选择。当安全变得越来越重要之后,DevSecOps及DevSecOps平台自动化能力建设也顺理成章地成了众多企业的选择。

试想一下,如果你是企业的安全管理者,在企业推动DevSecOps战略的落地,没有DevSecOps平台,如何能让不同的角色快速参与各项安全工作;这些不同的角色参与DevSecOps工作后,如何收集过程数据,了解建设现状,以帮助管理者正确决策如何制定下一步的持续改进策略。所以,建设DevSecOps平台是一项刚需性的、关键性的工作。

1.2 企业内部角度分析

从企业内部来看,安全工作涉及企业的方方面面,DevSecOps能力建设也是如此。面对复杂变化、头绪万千的管理现状,需要提纲挈领地落实关键的几件事,建设一套平台和流程,基于平台之上推动DevSecOps管理和运营,促进工作更顺畅地开展。同时,运营工作的开展也会反哺平台建设,对平台提出更多的需求,不断完善平台,从而逐步达到体系化建设的目的。

在日常的研发生产过程中,使用DevSecOps平台有着极大的优势。例如,通过管道化的生产流程解决传统研发模式下多方协作的效率低下问题。依托平台既定的流程和SOP,在线上开展日常工作,原有的冲突和沟通将变得更为顺滑。管道化的生产流程和卡点设置对于不同的操作人员、不同技术水平的人员来说,通过标准化的平台管理,保证输出产物质量的一致性。尤其是管道化流程中嵌入的安全工具,通过自动化操作和后台并行操作,减少传统模式下安全工作介入后给研发过程带来的阻滞,缩短了整体的交付周期。这些,都是业务侧所期望的价值点。

当企业面对新的技术风险时,通过DevSecOps流程和平台能力的构建,在已有的平台和流程之上做增量的迭代和嵌入,可以快速应对风险,达到快速止损的目的。作为软件研发领域的一项最佳安全实践,DevSecOps方法论及其平台建设可以帮助企业面对复杂的外部应用环境变化,如云端应用、大数据应用、物联网应用等新技术引入,消除了原有技术与原有角色的安全边界,提升效能的同时也为业务安全赋能。这些,都是企业开展DevSecOps平台建设的动力所在。

二、 DevSecOps平台建设需求来源

在DoD DevSecOps的文档中,对DevSecOps平台建设两个强劲的需求推动要素有清晰的描述:

  • 通过持续化集成管道,加快交付周期,起到降本增效的目的。
  • 构建快速、自动化的安全响应能力,以应对日新月异的外部安全形势变化。

作为美国国防部企业,加快交付周期,提供安全应急响应速度,以应对不确定性风险,是一个国防部企业的战略要求。对于普通企业而言,要求没必要那么高,但这两个原始需求依然具有广泛适用性,降本增效是企业所需要的,快速、自动化的安全响应能力与降本增效的可达成路径是一致的。下面就从外因和内因两个方面来介绍DevSecOps平台建设的需求来源。

2.1 从外因看DevSecOps平台建设的需求来源

2.1.1 网络安全和数据合规在国内外快速发展

近5年,网络安全和数据合规在国内外快速发展。从《通用数据保护条例》GDPR开始,各个国家竞相在数据安全领域立法,国内先后颁布了《网络安全法》《数据安全法》《个人信息保护法》。同时,为了配合这些法律的实施和落地,监管部门加大了针对数据安全的打击力度,合规通报事件、违法处置事件频频发生,安全在IT产品中由辅助特性一跃成为刚需。企业为了应对强监管压力,迫切需要构建与之相适应的安全能力,以应对市场的快速变化

2.1.2 法规的落地促使安全管理的数字化和平台建设成为刚需

而网络安全和数据合规的落地,在企业内部开展一段时间的实践之后,企业管理者开始认识到光靠几次运动式的专项整改无法解决这些问题,必须体系化地建立安全团队和自动化流水线,以保障IT产品出厂前的安全性。安全管理的数字化和平台建设随之成了最初的需求来源,这时,提倡拥抱变化和内生安全的DevSecOps理念也纷纷成为很多企业的首选。作为DevSecOps落地最佳实践的DevSecOps平台建设也随之进入议事日程。

2.1.3 频繁的网络攻击事件促使企业探索DevSecOps平台方案

除了合规之外,越来越频繁的网络攻击也是众多企业开展DevSecOps平台建设的一个原因。根据绿盟科技和腾讯安全联合发布的《2021年全球DDoS威胁报告》显示,全年DDoS攻击次数再次增长,TB级流量攻击持续高升。同时,深信服发布的《2021年度勒索病毒态势报告》也显示,年度全网勒索病毒攻击超2200万次。面对DDoS和勒索病毒这种给业务系统持续带来破坏的网络攻击,企业在受到攻击如何尽量减少损失,如何通过业务扩容、主备切换、水平迁移、故障恢复等手段快速恢复业务能力,保证业务系统的持续稳定,成为部分企业急需解决的问题。而这类问题的解决,通过DevSecOps平台的自动化能力来完成是非常合适的。

2.2 从内因看DevSecOps平台建设的需求来源

从企业内部看DevSecOps建设,主要是看企业的安全战略。企业安全战略决定是否采纳DevSecOps理念,企业安全战略指导着DevSecOps体系建设和DevSecOps平台建设的规划。

2.2.1 企业管理者需要解决安全加入固有流程后给业务带来的影响

在当前的安全形势下,企业不得不在安全与收益之间做取舍,它们都期望一种快速、经济、高效的安全交付模式,解决安全加入固有流程后给业务带来的影响。而DevSecOps恰恰兼顾安全与速度,在不牺牲必要安全性的前提下,加快软件的交付,使得代码更安全的同时成本也更低,这必然获得企业安全管理者的青睐。

2.2.2 企业安全管理者引入DevSecOps增加安全能力/降低安全学习成本

作为企业安全管理者,他们是DevSecOps平台建设的主需求方。他们在持续集成/持续交付管道之上,增加安全能力,构建可重复、自助的安全流程,降低安全加入后带来的学习成本,同时也降低了安全工作的操作门槛。以DevSecOps平台为基础,数字化安全操作流程,通过安全自动化和流程化,促进开发、安全和运维等团队之间协作,缩短安全缺陷处置周期,这都是企业管理者乐于看到的。

2.2.3 企业中不同岗位角色对DevSecOps平台建设方提出需求

除了企业安全管理者之外,其他参与DevSecOps工作的各个角色也会给DevSecOps平台建设方提出需求。例如,架构师为了做好安全架构设计工作,提出威胁建模工具建设和安全架构培训的需求;开发工程师会经常抱怨代码安全扫描误报和漏报的问题,促使DevSecOps平台建设方优化代码安全扫描策略;运维工程师为了减少手工安全基线加固的工作,提出自动化满足安全基线的需求等。这些不同的角色均是DevSecOps平台建设需求的来源。

好了,本次内容就分享到这,欢迎大家关注《DevSecOps》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/657926.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

网安文件包含漏洞

文件包含概念: 开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无需再次编写,这种调用文件的过程一般被称为包含。为了使代码更加灵活,通常会将被包含的文件设置为变…

Flink CEP实现10秒内连续登录失败用户分析

1、什么是CEP? Flink CEP即 Flink Complex Event Processing,是基于DataStream流式数据提供的一套复杂事件处理编程模型。你可以把他理解为基于无界流的一套正则匹配模型,即对于无界流中的各种数据(称为事件),提供一种组合匹配的…

Keepalived + DR 集群

目录 1、Keepalive VRRP 说明 故障切换 工作原理 核心组件 2、Keepalived DR 集群 拓扑规划 前期准备 配置 Httpd 服务 配置 Nginx 服务 配置 LVS 主 node_01 配置 LVS 从 node_02 测试 LVS 集群 测试主备切换 3、Keepalived 脑裂现象 4、Keepalived 心态检测 …

平安健康与中航健康时尚集团携手并进,共创会员制健康管理美好未来

近日,深圳市中航健康时尚集团股份有限公司(以下简称“中航健康时尚”)与平安健康正式达成战略合作。平安健康总裁吴军、中航健康时尚董事长王岚等领导出席签约仪式,就此次战略合作展开深入交流。 据了解,中航健康时尚集团创建于1995年&#x…

内存泄漏的原因及排查方法

🧑‍🎓 个人主页:《爱蹦跶的大A阿》 🔥当前正在更新专栏:《VUE》 、《JavaScript保姆级教程》、《krpano》、《krpano中文文档》 ​ ​ ✨ 前言 随着网页应用的逐渐复杂化,内存管理也变得越来越重要。内存泄漏不仅会…

YUDIAN(宇电)温控器参数笔记(二)

没想到啊,时隔3年,我又用到了这个温控器,又来更新一下,因为我刚好要做一个简易的控温系统,类似于恒温水槽。 这个系统大概就是: 温控器用pt100测温,作为输入,输入连接到一个ssr上&a…

Start gtkmm 4 Programming (range controls)_

文章目录 基础解析 Chapter 7. Range Widgets https://gtkmm.org/en/documentation.htmlhttps://gnome.pages.gitlab.gnome.org/gtkmm-documentation/index.html 基础 容器: 容器小部件与其他小部件一样,派生自Gtk::Widget.例如Gtk::Grid可以容纳许多子小部件&…

vue3教程,如何手动获取后端数据(入门到精通3,新人必学篇)

概述:没有后端数据的前端,就失去了灵魂,由于本人没有写后端数据,所有调用黑马的,往下看相信对你会有收获的。 目录 第一步:安装axios 第二步:编写后端访问地址 第三步:编写具体的…

如何更新github上fork的项目(需要一定git基础)

如何更新Fork的项目(需要一定git基础) 前言:本文记录一下自己在github上fork了大佬的开源博客项目https://github.com/tangly1024/NotionNext,如何使用git克隆以及自定义开发和同步合并原项目更新迭代内容的的步骤 如何更新fork的项目(进阶版) 首先你…

解决:ModuleNotFoundError: No module named ‘selenium’

解决:ModuleNotFoundError: No module named ‘selenium’ 文章目录 解决:ModuleNotFoundError: No module named selenium背景报错问题报错翻译报错位置代码报错原因解决方法方法一,直接安装方法二,手动下载安装方法三&#xff0…

数字图像处理(实践篇)三十七 OpenCV-Python 使用SIFT和BFmatcher对两个输入图像的关键点进行匹配实践

目录 一 涉及的函数 二 实践 三 报错处理 使用SIFT(尺度不变特征变换)算法

幻兽帕鲁服务器Palworld游戏怎么更新?

自建幻兽帕鲁服务器进入Palworld游戏提示“您正尝试加入的比赛正在运行不兼容的游戏版本,请尝试升级游戏版本”什么原因?这是由于你的客户端和幻兽帕鲁服务器版本不匹配,如何解决?更新幻兽帕鲁服务器即可解决。阿里云百科aliyunba…

git操作之本地代码修改后想回退成当前最新版本

这张图很关键,取自https://www.cnblogs.com/cblx/p/12467083.html 我们的vscode就是workspace,我们提交代码需要三步,add,commit,push,其中我们想拉取代码有两种方式,git pull或者git fetch/cl…

《【Python】如何设置现代 Python 日志记录 | Python 基础教程 | Python 冷知识 | 十分钟高手系列》学习笔记

《【Python】如何设置现代 Python 日志记录 | Python 基础》 2 PUT ALL HANDLERS/FILTERS ON THE ROOT:扁平化的设计有助于简化维护成本 5 STORE CONFIG IN JSON OR YAML FILE:使用配置文件可以将配置和代码解耦,减少代码量 日志设置示例 7 …

ubuntu 22安装配置并好安全加固后,普通用户一直登录不上

现象 ubuntu 22安装配置并好安全加固后,普通用户一直登录不上 排查报错 查看日志/var/log/auth.log发现报错 Jan 30 15:49:57 aiv-O-E-M sshd[62570]: PAM unable to dlopen(pam_tally2.so): /lib/security/pam_tally2.so: cannot open shared object file: No …

管理的四种风格

前言 管理的四种风格,一般的领导大概就是这几种管理模式,告知,辅导,参与,授权,还有就是乱搞式(神经病模式)。 一、告知式 告知式是指组织通过正式、明确的渠道,将信息传达给员工。这种方式通常用于传递基本的规章制度、工作流程、政策文件等。告知式的作用在于确保员…

体验 AutoGen Studio - 微软推出的友好多智能体协作框架

体验 AutoGen Studio - 微软推出的友好多智能体协作框架 - 知乎 最近分别体验了CrewAI、MetaGPT v0.6、Autogen Studio,了解了AI Agent 相关的知识。 它们的区别 可能有人要问:AutoGen我知道,那Autogen Studio是什么? https://g…

pandas绘制饼图:百分比、定制标签、关闭图例、支持中文

matplotlib绘制饼图 import matplotlib.pyplot as pltplt.rc(font, family=SimHei, size=13) size = [25, 15

C++_list

目录 一、模拟实现list 1、list的基本结构 2、迭代器封装 2.1 正向迭代器 2.2 反向迭代器 3、指定位置插入 4、指定位置删除 5、结语 前言: list是STL(标准模板库)中的八大容器之一,而STL属于C标准库的一部分,因此在C中可以直接使用…

npm 淘宝镜像正式到期

由于node安装插件是从国外服务器下载,如果没有“特殊手法”,就可能会遇到下载速度慢、或其它异常问题。 所以如果npm的服务器在中国就好了,于是我们乐于分享的淘宝团队干了这事。你可以用此只读的淘宝服务代替官方版本,且同步频率…