引言： 有不少I(mǎi)T企業(yè)已經(jīng)在利用或準(zhǔn)備利用DevOps。隨著DevOps成為主流，將安全問(wèn)題納入其范圍就成為不可避免的選擇。不管“開(kāi)發(fā)安全運(yùn)維（DevSecOps）”是否成為一個(gè)熱詞，安全及早地進(jìn)入軟件供應(yīng)鏈都將是大勢(shì)所趨。

什么是DevOps

雖然關(guān)于DevOps的定義還存在諸多爭(zhēng)論，但是大家日益認(rèn)同如下大原則：DevOps的存在是為了企業(yè)在競(jìng)爭(zhēng)中獲勝；根本問(wèn)題是敏捷和精益；（協(xié)作性）文化非常重要；反饋是創(chuàng)新的激勵(lì)因素；自動(dòng)化可起到幫助作用；DevOps可謂是一種能夠解決企業(yè)問(wèn)題的要求協(xié)作性的敏捷方法，或者是一種要求協(xié)作精神和能力的幫助企業(yè)用信息技術(shù)來(lái)獲得業(yè)務(wù)機(jī)會(huì)的敏捷方法。

敏捷開(kāi)發(fā)是由于企業(yè)要求更快創(chuàng)新的壓力而產(chǎn)生的。開(kāi)發(fā)速度可以如同基礎(chǔ)架構(gòu)和運(yùn)維所允許的速度一樣快。因而，要求開(kāi)發(fā)和運(yùn)維更加緊密地協(xié)作的壓力就是實(shí)施DevOps的推動(dòng)力。

DevOps如何與安全性交織在一起？

各單位可以利用六原則來(lái)使安全支持其全部努力：

DevOps的存在是為了企業(yè)在競(jìng)爭(zhēng)中獲勝。雖然通過(guò)策略減輕風(fēng)險(xiǎn)仍是信息安全的重要組成部分，但企業(yè)需求對(duì)于這些策略來(lái)說(shuō)也同樣重要。企業(yè)必須和諧地明確和理解風(fēng)險(xiǎn)，同時(shí)，在協(xié)作中，安全部門(mén)和人員還要首先考慮如何使企業(yè)立于不敗之地。

DevOps范圍很廣，但以IT為中心。在這個(gè)被數(shù)字化改變的世界中，IT位于變革的中心。但是IT并不是孤立的。公司的付出與人力資源、財(cái)務(wù)、運(yùn)維甚至外部的供應(yīng)商的結(jié)盟都是必要的。信息安全應(yīng)當(dāng)在企業(yè)的風(fēng)險(xiǎn)容忍度和合規(guī)要求的范圍之內(nèi)持續(xù)地努力減少其相互影響。

根本問(wèn)題在于敏捷和精益。理解敏捷和精益原則可以極大地有利于幫助安全專(zhuān)家加入DevOps。安全必須努力地持續(xù)集成、交付和部署，并且減少軟件供應(yīng)鏈中的限制（如等待許可的時(shí)間）。

文化很重要。DevOps的關(guān)鍵要素之一就是協(xié)作。這是一種分享共同目標(biāo)的文化思想，它代表企業(yè)而不是技術(shù)產(chǎn)品。安全必須強(qiáng)調(diào)協(xié)作努力從而減輕風(fēng)險(xiǎn)而不是游離在外的批評(píng)家。

反饋是創(chuàng)新的激勵(lì)因素。實(shí)驗(yàn)和學(xué)習(xí)對(duì)于DevOps很重要，而這些要求充分的反饋，尤其是來(lái)自企業(yè)的反饋。這種反饋需要傳達(dá)到每個(gè)人，由此才能進(jìn)行重大改進(jìn)和創(chuàng)新，但是它要求進(jìn)行事后的討論才能有所提高。企業(yè)必須避免安全文化成為DevOps中的一種責(zé)備文化。

自動(dòng)化可起到幫助作用。自動(dòng)化可以使交付更快和持續(xù)性更強(qiáng)，且質(zhì)量更高。

工具可以極大地促進(jìn)DevOps，但工具并不是基礎(chǔ)。自動(dòng)化并不強(qiáng)制協(xié)作性，但可使協(xié)作更容易。用于測(cè)試、認(rèn)證、監(jiān)視的安全工具應(yīng)當(dāng)包含在DevOps的工具鏈中，但是，為了更好地提高，其完成的結(jié)果應(yīng)當(dāng)廣泛地共享。