DevOps成熟度与安全性的关系

2019-05-17 14:45:46  来源:安全牛

摘要:现在很多组织机构已经将DevOps纳入其数字化的一部分。这一过程对每个公司来说都不一样。事实上,组织机构已经开始接受DevOps,并且已经在初始部署中各自投入了不同的时间和预算。
关键词: 安全
  现在很多组织机构已经将DevOps纳入其数字化的一部分。这一过程对每个公司来说都不一样。事实上,组织机构已经开始接受DevOps,并且已经在初始部署中各自投入了不同的时间和预算。
 
  这种多样性有助于帮助组织机构根据其策略和当前能力塑造其DevOps成熟度。举例来说,在IDC的应用服务调查中,超过15%的受访者表示,他们的组织机构目前正在IT和少数业务线(LOB)单元内改进和标准化 DevOps功能。相比之下,10%的受访者表示,他们的组织机 构正在定期改进DevOps策略和功能,因为它适用于所有IT和LOB资产。
 
  这些发现本身就具有指导意义,它们提出了一个重要的问题:DevOps的成熟度究竟是什么?在本文中,我们将详细探讨这个主题。我们还将展示DevOps成熟度与DevOps安全性的联系。
 
  明确DevOps成熟度
 
  “DevOps成熟度” 这个术语用于表示组织在部署DevOps过程中完成了多少工作,以及还有多少工作尚未完成。根据CA Technologies的说法,组织机构可以通过四个方面来衡量他们的DevOps成熟度。他们包括:
 
  1. 文化和策略:DevOps是一种文化转变,因为它消除了边界,将开发团队和运营团队聚集在一起。如果要长期取得成功,这种过渡需要进行仔细规划。
 
  2. 自动化:自动化统一了工具,使团队可以共享它们。例如在DevOps中,自动化促进了持续交付和持续部署。自动化还可以使团队变得具有创造性,不浪费时间处理各种重复的任务。
 
  3. 结构和流程:现代企业从事件响应系统到通信工具,在方方面面都具有流程。因此,也难怪流程在DevOps中占有重要地位。
 
  4. 协作和共享:员工可能分布在世界各地,但是他们仍然需要能够彼此合作来支持DevOps文化。这种协作要求员工调整其工具和资源。
 
  这些因素在DevOps成熟的每个阶段都相互作用。
 
  一般来说,组织机构可能会发现自己处于以下四个阶段之一:
 
  1. 无意识不胜任(Unconscious Incompetence)
 
  处于这个阶段的组织机构不理解DevOps是什么,因此无法抓住它的业务优势。因此,上述4个因素在此阶段都没有什么体现。
 
  2. 有意识不胜任(Conscious Incompetence)
 
  在开始部署DevOps的12到18个月内,组织机构通常会试图利用DevOps的很多自动化组件来实现流程的自动化。也就是说,团队通常还是独立执行大部分工作。几乎没有涉及到协作和资源共享。
 
  3. 有意识胜任(Conscious Competence)
 
  在开始部署DevOps的四年内,组织机构已经成功完成了他们想要的自动化。然后,他们开始关注如何改进平台之间的协作,并构建一个平台来提高开发团队和运营团队之间的资源和工具共享效率。
 
  4. 无意识胜任(Unconscious Competence)
 
  组织机构已经建立了强大的DevOps文化,能够通过标准化结构和明确的共享工具和资源的流程,支持团队之间的深入协作。
 
  与DevOps安全性的关系
 
  DevOps成熟度程度直接关系到组织机构是否能更快速地发布更优质的软件。随着组织机构DevOps越来越成熟,这种数字创新速度会变快。这也就意味着,除非这些软件交付触碰到安全措施,事后的保护措施几乎总会延迟部署链。
 
  因此DevOps的成熟度不可避免地迫使组织重新考虑其安全实践。这一步涉及将安全性转移到DevOps中,使其更接近应用程序本身。通常,成熟组织机构中的DevOps团队会与安全人员一起工作,在软件开发生命周期的早期阶段中构建其安全性 。他们甚至可以使用容器持续交付安全补丁,并限制恶意攻击者通过一次攻击可以破坏的资源数量。
 
  这种协作对于发挥成熟DevOps的安全优势至关重要。正如一篇博客中的Dark Reading笔记所写:
 
  安全团队和DevOps团队可以共同努力保护基础架构。安全团队成员不必完全了解所有开发工具——他们可以专注于分享安全原则和策略,并将其应用于新的开发工具中。如果DevOps团队和安全团队实现了集成了本地DevOps工具的容器安全平台,那么他们可以更好地学习如何以新的方式合作,以及如何使用彼此的语言。
 
  然而实现这种级别的协作并不容易。Gurpreet Sachdeva在State of Security的一篇文章中解释了组织机构需要如何找到一种方法,在不影响速度和敏捷性的情况下将安全性嵌入DevOps生命周期中。他们还需要通过有效沟通帮助协调各种相互冲突的开发目标,包括希望软件尽快发布和希望解决所有漏洞。

第二十九届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
法国布雷斯特商学院DBA班招生
责编:kongwen