/catalog/296695a3fdd74f71b4ced1996c9b6856//Document/304898482892869.html/Document/304549706600517.html/Document/304188584996933.html/Document/303818784497733.html/Document/302700517105733.html/Document/302416475320389.html/Document/302077848256581.html/Document/301288627347525.html/Document/300279638184005.html/Document/274792263872581.html/Document/273024381308997.html/Document/272683642789957.html/Document/272351623921733.html/Document/271961406242885.html/Document/271560844214341.html/Document/270477420015685.html/Document/269881559916613.html/catalog/c51244b85e704db9a2a34ca396e9fe27//Document/297463116619845.html/Document/296410729726021.html/Document/294281412902981.html/Document/289614801383493.html/Document/289336711553093.html/Document/288989717336133.html/Document/267736666357829.html

DevSecOps中,人员、流程和工具部署最佳实践

DevSecOps中,人员、流程和工具是三个缺一不可的关键要素。

DevSecOps最佳实践三要素

人员方面,首先领导层一定要去重视,领导的作用是很大的,只有领导重视了,才会有相应的流程、规范,才会去招聘相应的人员、做相关的培训、采购工具。做安全一定是自上而下的。

其实我们的程序员的安全储备是不够的,对于安全开发、安全编码的培训是非常重要的。开发不是说功能实现了就可以了,一定要高质量。除了安全性,在其他方面也有代码质量的体现。


人员很优秀了还不够,流程也很重要,后面我们会为大家分享一些最佳实践的案例。


再就是工具,工具也很重要,有一个好的工具事半功倍。后面我也会给大家推一些业界最牛的工具,帮助大家去更好地实践。
我们本次讲座主要介绍的还是流程和工具,人员的话主要还是需要通过一些培训解决。

DevSecOps在技术层面最重要的三点

工具和流程都是指技术层面的。在技术层面,我认为目前最重要的三个目标和方向就是集成,自动化和敏捷。做好应用安全,做好DevSecOps,在技术层面最重要的就是这三点。

首先是集成。因为我本身是做开发出身的,我很清楚一个应用的诞生是非常不容易的,整个生命周期是非常复杂的一个过程。其中涉及到很多开发的工具链、测试的工具链。我们也称之为SDLC,工具链非常多,在这些工具链中,我们都应该将应用安全嵌入进去,做好集成这点很重要。


再就是自动化。尽量去提高效率,减少人为的工作量。通过无感知的方式去完成我们的测试,不需要投入太多的人力和时间。比如说通过一个命令脚本,在下班的时候开启一个自动化扫描任务,第二天一上班测试完成了,我们开始去分析结果就可以了。
我们的触发条件不只是特定的时间,也可以是比如说我们有一个新的变更、有一个新的版本要发布,就触发新一轮的测试,通过自动化的方式去测试。

最后一点是敏捷。我们提倡敏捷开发、敏捷测试,敏捷的含义不光是测试的效果,不光是指快速地测完,这只是一个方面。我们更多的是提倡能够把测试的结果非常敏捷、快速地提交给开发人员,开发人员能够很快地看到这个测试结果,而且通过这个报告分析结果,能够快速地修复。最根本的目的是把它修复掉,这是敏捷的价值。