DevSecOps来了！不要害怕变革

什么是DevOps？

过去几年间，开发周期经历了重大变革。客户需求不断演变，市场对速度和质量提出更高要求。为应对这种变化，开发团队与运维团队的关系日益紧密。IT基础设施同步演进以适应快速的时间线和发布周期。

传统的多重审批门槛式基础设施正在逐渐淘汰，快速响应的API正在取而代之，以生成和扩展大规模的软硬件实例。逐渐靠近运维团队的开发人员现在决定身兼两职，跳过"冗余"环节。这种整合帮助组织实现快速发布，同时提升应用稳定性和响应时间。

DevOps团队现在能够直接处理和满足客户或最终用户的需求。有人常将敏捷方法与DevOps混淆，这在不断变化的行业背景下是很自然的。

简而言之，敏捷是一种方法论，关注流程（如站会、冲刺等）；而DevOps则关注技术整合（持续集成/持续交付、工具和IT自动化）。敏捷讨论的是软件开发生命周期，而DevOps还将运维和敏捷的流动性融入其中。

DevOps工具库包含众多支持快速高效交付的工具：发布、监控、管理、虚拟化、自动化和不同部分的编排。在不断变化的需求和生态系统中，这是当下的必然需求。它必须不断演进并持续发布更新，以跟上客户和市场的节奏。这不是单向的水流，而是在无重力生态系统中全方位流动的水管。

DevSecOps的主要目标是在开发早期阶段从流程层面整合安全，并确保团队每个成员都对安全负责。它倡导将安全作为连接开发和运维的强力粘合剂，通过单一任务力量实现。在DevSecOps中，安全应通过工具、控制和流程成为自动化的一部分。

传统的软件开发生命周期通常将安全视为最后的审批关口，用于在可见威胁层面验证工作成果。而在DevSecOps中，安全无处不在，贯穿开发和运维的所有阶段/环节。它直接嵌入到具有绘图板、安全工具和发布周期之间持续集成的生命周期中。

正如Gartner文档所述，DevSecOps可以图形化地描述为从开发到运维的快速敏捷迭代，以持续监控和分析为核心。

DevSecOps的另一个关键驱动因素是边界安全无法适应日益增多的集成点和信任边界的模糊化。在这个网络生态系统中，边界变得越来越不透明和模糊。软件必须本身具备内在安全性，而不依赖边界安全控制。快速开发和发布导致实施自定义控制（如过滤器、策略和防火墙）的供应链时间线缩短。

本系列文章致力于让这些术语更易理解；组织面临的诸多挑战及其可能的解决方案将在后续文章中探讨。

敬请关注。