速度，速度，彈性–這三個(gè)要素都是DevOps中的關(guān)鍵要素，無需為了安全而犧牲它們。無論如何，需要通過打破某些質(zhì)疑來穩(wěn)定文化基礎(chǔ)。在本文中，Brian Kelly解釋了如何實(shí)現(xiàn)這一目標(biāo)。

組織正在爭相創(chuàng)建和發(fā)布革命性的應(yīng)用程序和服務(wù)，以使其與競爭對手區(qū)分開來并提供卓越的客戶體驗(yàn)。像DevOps這樣的變革性方法的采用使這成為可能-放慢速度，這在競爭環(huán)境中是不可行的。

隨著更快的大規(guī)模代碼交付成為軟件開發(fā)的新規(guī)范，并且持續(xù)交付（CD）管道使DevOps團(tuán)隊(duì)能夠大規(guī)模構(gòu)建和部署應(yīng)用程序，因此秘密越來越多。密碼，密鑰和憑據(jù)正在越來越多地被創(chuàng)建和分發(fā)，它們都必須受到保護(hù)。

文化脫節(jié)

CyberArk委托最近進(jìn)行的一項(xiàng)獨(dú)立調(diào)查發(fā)現(xiàn)，盡管DevOps專業(yè)人員認(rèn)識到機(jī)密管理的重要性，但DevOps與安全團(tuán)隊(duì)之間存在脫節(jié)，這使標(biāo)準(zhǔn)化機(jī)密管理面臨挑戰(zhàn)。

60％的受訪者認(rèn)為他們的安全團(tuán)隊(duì)“缺乏專業(yè)技術(shù)知識，無法與開發(fā)人員和DevOps同行進(jìn)行有意義的互動(dòng)?！?有趣的是，幾乎與安全/ IT受訪者一樣，與DevOps受訪者相比，安全需要更多的技術(shù)專業(yè)知識。先前的研究還發(fā)現(xiàn)，在整個(gè)應(yīng)用程序開發(fā)過程中，只有41％的安全和DevOps團(tuán)隊(duì)得到了很好的集成。這導(dǎo)致決策分散，更不用說構(gòu)建IT語言障礙了。

在不調(diào)整目標(biāo)并加強(qiáng)DevOps與安全性之間的通信的情況下，組織會公開接受未經(jīng)檢查的安全性問題，這些問題會給公司帶來風(fēng)險(xiǎn)。

奠定文化基礎(chǔ)

不需要犧牲速度，速度和彈性來確保安全，但是需要通過打破筒倉來穩(wěn)定文化基礎(chǔ)。這是如何做：

• 將安全和DevOps團(tuán)隊(duì)轉(zhuǎn)變?yōu)楹献骰锇?/strong>

開發(fā)人員應(yīng)該接受安全團(tuán)隊(duì)在最佳實(shí)踐和專有技術(shù)方面的重要建議，而安全團(tuán)隊(duì)?wèi)?yīng)該接受在現(xiàn)代軟件工程經(jīng)常迅速爆發(fā)的現(xiàn)實(shí)中工作的新方法。 

培訓(xùn)開發(fā)人員“像攻擊者一樣思考”，并建立正式系統(tǒng)以確保DevOps團(tuán)隊(duì)了解安全風(fēng)險(xiǎn)并實(shí)施良好的安全實(shí)踐。擁抱堅(jiān)固的宣言。安全團(tuán)隊(duì)需要了解開發(fā)人員在保護(hù)機(jī)密方面面臨的挑戰(zhàn)以及他們用于解決機(jī)密問題的方法。即使應(yīng)用程序的實(shí)際編碼是由開發(fā)人員完成的，安全團(tuán)隊(duì)也需要能夠與他們進(jìn)行可靠的通信。在團(tuán)隊(duì)之間建立同理心，致力于將Dev和Ops整合到DevOps中，并且相同的方法可以確保安全。

• 移動(dòng)安全“左”

安全性必須盡早納入開發(fā)流程中，并且只有在安全性和開發(fā)團(tuán)隊(duì)進(jìn)行協(xié)作時(shí)才能實(shí)現(xiàn)。DevOps領(lǐng)導(dǎo)者應(yīng)盡早將安全方面的代表包括在關(guān)鍵計(jì)劃和決策中，安全團(tuán)隊(duì)需要將注意力集中在增量，小批量連續(xù)交付上，以此作為提高安全性的方法，從長遠(yuǎn)來看將獲得更好的結(jié)果。

通過在開發(fā)過程中盡早進(jìn)行協(xié)作，可以在不影響業(yè)務(wù)速度的情況下提高安全性。

• 不斷進(jìn)行評估

安全，開發(fā)和運(yùn)營團(tuán)隊(duì)可以通過共享目標(biāo)和指標(biāo)來建立共識（例如，是否在公共存儲庫的代碼中找到了機(jī)密？已保護(hù)了百分之幾的應(yīng)用程序機(jī)密？一旦機(jī)密性得到保護(hù)，它們被訪問的頻率如何？）。這有助于DevOps和安全團(tuán)隊(duì)圍繞共同的目標(biāo)進(jìn)行調(diào)整，并建立通用的詞匯表。

在大多數(shù)情況下，提高安全性是通過不斷進(jìn)步來實(shí)現(xiàn)的。團(tuán)隊(duì)?wèi)?yīng)該突出每個(gè)成功，然后在它們的基礎(chǔ)上繼續(xù)發(fā)展。例如，組織可以使用指標(biāo)來顯示已解決了多少攻擊面，或者每個(gè)DevOps團(tuán)隊(duì)滿足安全要求的程度如何。旨在取得一些初步的成功，以證明安全性和效率方面的提高，并從那里擴(kuò)展出來。 

DevOps的興起從根本上改變了圍繞網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和機(jī)密管理的對話。但是，也許從我們的調(diào)查中得出的最重要的結(jié)論是，DevOps和安全響應(yīng)者都認(rèn)識到，秘密管理應(yīng)該是整個(gè)企業(yè)范圍內(nèi)的協(xié)作過程。這種共識為在團(tuán)隊(duì)之間建立更緊密的協(xié)作，使企業(yè)比他們以前認(rèn)為的可能更具創(chuàng)新性-而不犧牲安全性-提供了必要的共同基礎(chǔ)。