23、云原生开发中的基础设施即代码与安全实践

云原生开发中的基础设施即代码与安全实践

1. DevSecOps概述

DevSecOps策略旨在将开发人员和运维人员在应用程序的整个生命周期（从设计、开发到生产支持）中紧密结合。CI/CD管道是DevSecOps策略的重要组成部分，它有助于减少手动错误，提供标准化的开发反馈循环，并实现快速的产品迭代。

在DevSecOps中，有两个关键实践：基础设施即代码（IaC）和策略即代码（PaC）。
- IaC ：通过机器可读的定义文件来管理和配置基础设施，而非通过物理硬件配置或交互式配置工具。这使得环境设置简单、可重复且一致。在DevSecOps环境中，IaC可用于自动化环境设置，并确保设置的一致性和安全性。
- PaC ：使用高级语言编写代码来管理和自动化策略。这些策略可用于在开发和部署过程中强制执行特定标准或行为。在DevSecOps中，PaC可确保安全策略在所有环境中得到一致应用。

此外，还有许多安全工具可支持DevSecOps方法，如静态应用安全测试（SAST）工具、动态应用安全测试（DAST）工具、安全信息和事件管理（SIEM）工具以及事件响应工具等。这些工具可集成到CI/CD管道中，提供持续的安全反馈，确保在开发过程的每个阶段都考虑到安全问题。

下面是DevSecOps中各组件的关系图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    CI(持续集成):::proces