“成功DevSecOps的关键”

各种规模和行业组织都接受devops的文化和实践。 虽然devops为加快应用程序的开发和部署提供了有益的功能，但不要在此过程中禁用安全性也很重要。 devsecops出现在devops之后。 这是为了确保安全性在桌面上占一个位置，而devops几乎开发的代码是安全的。

上个月在拉斯维加斯参加黑帽会议时，我有机会与sameer dixit副总裁和sameer dixit团队的其他成员讨论了devsecops，并制作了所需的密钥。 成功。 我们通过建立安全机制开始对话。 这应该是你在it上进行的所有活动的固有部分。 在没有安全性的情况下，如何建立互联网或开发应用程序？ 这似乎是合理的问题，但仍然是许多组织面临的问题。

要共享成功的devsecops，sameer基本上有两个重要因素:培训和自动化。 训练很重要。 因为你不能指望刚离开大学的新人或其他新人。 因为我只知道如何编写安全代码。 有必要教授安全代码的实践，同时开发者的技能应该随实践而成熟。

第二点可以说更重要。 重要的是自动化。 sameer共享部署或生产力的时间延迟是开发人员和操作之间最大的问题之一。 如果添加开发更安全的代码的步骤，则尽量简化安全性很重要，因此事件可能会更多、复杂、变慢。

通过将自动安全扫描集成到一致性集成和扩展部署( CI/CD )管道中，可以在签入平台(如jenkins )时自动扫描代码 开发人员将收到反馈，详细证明已确定的问题，然后更正这些问题。 随着时间的推移，每个开发人员都需要从过程中学习和磨练技能。 需要随着时间的推移重复，以发现更少或更少的严重问题。 最终，随着开发人员技能的成熟，这个过程应该会缩短开发时间。

当然，安全代码只是devsecops方程式的一部分。 在运用方面，有一点需要解决的问题。 其中一个也会影响开发者。 许多组织仍然依赖过时的硬件，依赖不支持的操作系统和过时的协议。 为了满足这些旧的标准，需要编写代码。 即使编写当前系统和协议的代码，连接的系统和应用程序也可能会由于向后兼容性而恢复为旧版本。 对旧式硬件和软件的依赖，以及与以往流传的技术顺利合作的努力，使devsecops的部署变得更加困难。

我希望有一天安全感不再是事后的想法，我们不需要完全独立的措施来把它变成一件事。 devops默认包括安全代码实践和互联网安全，这是件好事。 但是，现在大多数组织都可以从这些关注devsecops的密钥中获益。