浅析DevSecOps的优势及实施中存在的挑战

浅析DevSecOps的优势及实施中存在的挑战

DevSecOps将安全性集成到DevOps管道的每个阶段，它统一了开发活动，操作支持和安全检查，并协调了软件开发生命周期（SDLC）中涉及的团队，其自动化有助于团队之间的协同作用。

但DevSecOps并不是一个快速解决方案或临时解决方案，而是一项长期的实施过程，可帮助组织实现和维护安全的SDLC。它要求开发团队遵循标准的SDLC流程，以确保在流程的早期就发现并解决问题。

在DevSecOps范例中，开发人员维护其代码版本，并遵循同行评审过程，然后才能将其移至其他环境。由单独的团队负责开发，测试，部署等是行不通的，因为没有任何人或团队可以完全控制代码/环境中的更新方式。

运营团队支持整个开发流程，包括维护和更新操作环境，定义和实施部署流程以及记录DevSecOps流程的每个细节。安全团队可以识别并消除任何漏洞，一旦漏洞到达生产环境，DevSecOps流程就会清楚地说明何时以及如何找到漏洞。在传统的编码过程中，将应用程序部署到生产中的过程始于对代码的更改，但是在DevSecOps中，构建，测试和安全扫描较早开始，并且需要其他活动来补充，例如设计审查和后期生产监控。

1、DevSecOps可以使用一种工具执行吗？

有许多工具可以提供各种类型和服务组合，但是没有一个工具可以提供DevSecOps流程。一些提供静态应用程序安全测试（SAST）工具的供应商现在正在添加软件组成分析工具（SCA），但是DevSecOps不仅仅是执行扫描工作。

同样需要注意的是，没有一种工具适合所有环境，而且通常没有一种工具适合所有公司。除应用程序测试工具外，DevSecOps流程还需要报告工具，缺陷跟踪/管理工具，环境构建工具等。不仅如此，安全性，构建和度量标准收集活动不仅限于市场上可用的工具。甚至脚本（Shell，PowerShell，Python等）也提供各种功能。

2、DevSecOps如何帮助安全团队？

在DevSecOps中，对代码的任何更改都会触发诸如SAST或动态应用