如果有人問:現在有什麼技術正在對IT生態系統帶來革命性的改變?答案或許是物聯網(IoT)、人工智慧(AI)、機器人或者某些逐漸浮現的創新技術。但是對於那些已見識過技術興衰的人們來說,下一個新事物並不是抽象或者需要花好幾年時間開發,而是一種推動今日全球行動應用程式(app)經濟的方法學:DevSecOps。

事實上,根據Infoholic Research調查,全球DevSecOps——也就是被熱議的開發(Development)、安全(Security)與維運(Operation)市場,將在未來幾年躍升,而亞太區特別是新加坡、日本、中國與印度對於DevSecOps平台的關注度越來越高。

DevOps統合了軟體開發與營運,當成一種破除孤島的經營手段,促成更多改良和快速增加新功能,而DevSecOps則是強調從一開始就將安全性整合到開發流程之內。

DevSecOps實質上實現了技術供應者經常掛在嘴邊的行銷金句:「安全來自於最初設計」(security by design)。

DevSecOps在DevOps世界的定位?

一如「開發與維運」(DevOps)需要以一種新的思維擁抱新軟體開發方法,DevSecOps要求在連續的整合與交付(continuous integration and continuous delivery;CI/CD)管線內將安全性設為優先。許多開發者並非安全專家,反之亦然。

隨著高度虛擬化,可自動化的雲端和容器平台的發展,這種交付方式的創新促進了典型企業中應用程式數量和功能的迅速增加。無論如何在何地方部署應用程式,它們都需要流量管理、內容路由、機器人防禦和API安全等應用程式服務的支持。大多數運行良好的CI/CD管道可以在最少的人工干預下處理應用程式代碼的整合和部署。但是,許多企業仍透過緩慢的網絡和安全策略的手動配置過程,來管理應用程式服務和策略。週期上的不匹配會導致應用團隊繞過公司安全和網絡策略,而傾向於快速發布代碼。

DevOps是一種快步調且動態的環境,如何妥善的將安全性整合到軟體開發生命週期之內?這是一個需要檢視安全測試工具以及企業最佳實務方法的問題。

今天企業面對的app環境已演變得越來越複雜,app不再能夠每年才做一次更新,而可能是每天都有更新的需要。DevSecOps程序未必都是一直線,IT部門需要深入研究他們的管線,了解資訊類型以及潛在的安全弱點才能成功。從使用的安全測試工具到安全團隊與客戶的盡早溝通,DevSecOps確保IT與app安全性成為每一個人的責任。DevSecOps不再是一個顯學,如何成功的跨越挑戰呢?

安全重於速度

DevOps人員投入DevSecOps後所面對的另一問題就是速度。例如,當部署應用安全工具之後,IT團隊通常會預期出現較慢的執行時間。這項微小的缺點,或許會阻礙他們將安全性放在以速度和敏捷性為優先的地方,但是取消安全性並非選項。企業可以做的就是盡量設法減少增加時間。

有趣的是,CI/CD管線事實上從未將安全性視為第一優先,而是強調速度與便利。隨著DevSecOps的出現,現在所有涉及的人員都有責任確保安全性成為開發程序的一部分。這種方法由於開發步調緩慢,或許會被視為是阻礙創新的絆腳石,但是將安全性視為第一優先的結果,IT組織現在可以避免威脅造成損失和損害。

無縫CI/CD整合

可以通過驅動CI/CD管道的相同工具和流程自動提供先進的安全保護和智能流量路由的應用程式服務。這樣,您的DevOps團隊可以利用現有的開發和部署管道,而不會減慢創新或增加公司風險。例如,F5 提供最廣泛的應用程式服務整合,透過與Ansible、ServiceNow與GitLab等常用工具整合,可以快速匹配所使用工具的工作流程,透過操作的靈活性讓團段無路在何地或何處部署,都會自動應用一致的應用程式服務。

DevOps由於具備快速的本質而聚焦於功能改善速度,並將安全性當成一個整合功能。直到DevOps和DevSecOps變成同一件事之前,後者將扮演暫時的腳色,突顯安全性在應用開發上的重要性。