给DevOps加点料：融入安全性的DevSecOps

从前，安全防护只是特定团队的责任，在开发的最后阶段才会介入。当开发周期长达数月、甚至数年时，这样做没什么问题；但是现在，这种做法现在已经行不通了。

采用 DevOps 可以有效推进快速频繁的开发周期（有时全程只有数周或数天），但是过时的安全措施则可能会拖累整个流程，即使最高效的 DevOps 计划也可能会放慢速度。

一、DevSecOps是什么

在 DevOps 协作框架下，安全防护是整个 IT 团队的共同责任，需要贯穿至整个生命周期的每一个环节。这个理念非常重要，因此催生出了“DevSecOps”一词，即在开发和运维紧密结合的基础上再强调了Security，强调必须为 DevOps 计划打下扎实的安全基础。

DevSecOps 意味着从一开始就要考虑应用和基础架构的安全性；同时还要让某些安全网关实现自动化，以防止 DevOps 工作流程变慢。

选择合适的工具来持续集成安全防护（比如在集成开发环境（IDE）中集成安全防护功能）有助于实现这些目标。但是高效的 DevOps 安防需要的不仅是新工具。它更需要整个公司实现 DevOps 文化变革，从而尽早集成安全团队的工作。

二、DevSecOps目标及原因

DevSecOps的目的和意图是建立在“每个人都对安全负责”的思想基础上，目标是在不牺牲所需安全性的前提下，将安全决策快速、大规模地分发给拥有最高级别上下流的人员。

如今，也是同样的原因致使传统的安全领导者竭力争取自己在行政会议上的一席之地。虽然这一席之地能够保证安全决策有效性的提高，但由于价值创造过程中缺乏所需安全技能的供应，导致成果在产出过程中摩擦增多、速度减缓。如果没有足够的人手，企业经营者就无法达到业务运营商所期望的速度，也就意味着他们