0X00前言

DevSecOps代表开发、安全和运营。它是一种文化、自动化和平台设计方法，将安全性作为整个 IT 生命周期的共同责任进行整合DevOps不仅仅涉及开发和运营团队。

如果企业想充分利用 DevOps 方法的敏捷性和响应能力，还必须在应用程序的整个生命周期中发挥综合作用。过去，安全的角色在开发的最后阶段被隔离给特定的团队。当开发周期持续数月甚至数年时，这并不是什么问题，但那些日子已经结束了。有效的 DevOps 可确保快速且频繁的开发周期（有时为数周或数天），但过时的安全实践甚至可能使最高效的 DevOps 计划付诸东流。

0X01采用DevOps，有哪些好处？

采用 DevOps 的文化、做法和工具的团队将获得高绩效，可以用更快的速度构建更好的产品以获得更高的客户满意度。若要实现以下业务目标，这种改进的协作方式和生产能力不可或缺：

1、缩短上市时间

2、适应市场和竞争

3、保持系统稳定性和可靠性

4、缩短平均恢复时间

DevSecOps不仅意味着从一开始就考虑应用程序和基础设施的安全性，还意味着自动化一些安全门，以防止DevOps工作流程变慢。选择正确的工具来持续集成安全性，例如就具有安全功能的集成开发环境 (IDE)达成一致，可以帮助实现这些目标。然而，有效的 DevOps 安全需要的不仅仅是新工具——它建立在 DevOps 文化变革的基础上，宜早不宜迟，整合安全团队的工作。

0X02DevOps 和应用程序生命周期

DevOps 影响应用程序生命周期的规划、开发、交付和运营阶段。每个阶段都依赖于其他阶段，并且这些阶段并非特定于角色。

在真正的 DevOps 文化中，每个角色在某种程度上都涉及到每个阶段。在规划阶段，DevOps 团队构思、定义和描述他们即将构建的应用程序和系统的特性和功能，如下图所示（图片来源）。他们在低粒度和高粒度级别上跟踪从单个产品任务到跨多个产品组合的任务进展。DevOps 团队以敏捷和直观地方式进行规划的一些方法包括创建积压工作 (backlog)、跟踪 bug、使用 scrum 管理敏捷软件开发、使用看板以及使用仪表板直观呈现进度。开发阶段包括编码的各个方面（编写、测试、评审）、团队成员集成代码，以及将代码构建为可部署到各种环境中的生成工件。

DevOps 团队寻求在不牺牲质量、稳定性和生产效率的情况下快速创新。为此，他们使用高效的工具、自动化单调和手动步骤，并通过自动化测试和持续集成以小增量迭代。交付是以一致且可靠的方式将应用程序部署到生产环境中的过程。交付阶段还包括部署和配置构成这些环境的基础结构，该基础机构受到完全治理。在交付阶段，团队定义了具有明确手动批准阶段的发布管理流程。他们还设置了自动入口，用于推动应用程序经历各个阶段，直到提供给客户。

这些流程的自动化使这些流程可伸缩、可重复并且可控制。这样，使用 DevOps 的团队就可以轻松、自信、放心地频繁交付。运营阶段包括维护、监视和对生产环境中的应用程序进行故障排除。在采用 DevOps 做法时，团队致力于确保系统的可靠性、高可用性，并在加强安全性和治理的同时实现零停机的目标。DevOps 团队希望在问题影响客户体验之前发现问题，并在问题发生时迅速解决问题。保持这种警惕性需要丰富的遥测、可操作的警报以及全面了解程序和基础系统。

0X03DevOps文化有哪些？

虽然采用 DevOps 做法可以通过技术自动化和优化流程，如下图所示（图片来源），但这一切都是从组织内部的文化和参与的人员开始的。培养 DevOps 文化的挑战在于需要深入改变人们的工作和协作方式。但是，当组织致力于 DevOps 文化时，可以创造一个让高绩效团队培养文化的环境。健康的DevOps文化的一个标志是团队间能够协作，首要的便是可见性。开发和IT运营等不同团队必须能够相互分享DevOps流程、优先级和关注点。

这些团队还必须能够共同规划工作，并统一与业务相关的成功目标和衡量标准。当团队统一时，他们拥有所有权并参与其他生命周期阶段，而不仅仅是他们的角色对应的阶段。例如，开发人员不仅要对开发阶段的创新和质量负责，还要对他们的改变在运营阶段带来的性能和稳定性负责。同时，开发人员一定要在规划和开发阶段中包括治理、安全性和符合性。

DevOps 团队通过短周期发布软件保持敏捷。因为进度是渐进式的，缩短发布周期可以让计划和风险管理更容易，同时也减少了对系统稳定性的影响。缩短发布周期还可以让组织适应和应对不断变化的客户需求和竞争压力。笔者认为高绩效的 DevOps 团队形成了一种成长思维。快速更新迭代，然后将经验教训融入到企业的流程中，不断改进，提高客户满意度，加速创新和适应市场。DevOps 是一个旅程，所以总有成长的空间。

0X04点评

DevSecOps 需要一种统一、集成的方法来提供全栈、全生命周期的安全性。最好的 DevSecOps 工具应与任何CI/CD工作流程集成，以在开发早期保护云基础设施和应用程序。这些工具应该支持基于容器的框架、检测漏洞、监控合规性，并能够随着您的基础设施长期扩展。归根结底，重要的是要记住，DevSecOps 最重要的是心态的转变。只有整个企业都认同将安全性纳入其 DevOps 流程的想法，DevSecOps 工具或解决方案才能发挥作用。那些这样做的人不仅会在安全性方面获得收益，而且还会在整个组织的生产力、成本和效率方面获得收益。