正文

敏捷軟件開發(fā),DevSecOps和敏捷軟件開發(fā)有什么不同

5424
5424 V管理員 /137閱讀/0評論
0420

你更專注于安全性還是軟件交付,還是可以兩者兼得?

(本文字數(shù):2258,閱讀時長大約:4 分鐘)

技術社區(qū)中存在一種趨勢,經常互換地使用 DevSecOps 和敏捷軟件開發(fā)這兩個術語。盡管它們有一些相似性,例如都旨在更早地檢測風險,但在改變團隊的 工作方式層面有很大不同 。

DevSecOps 建立在敏捷開發(fā)建立的一些原則上。但是,DevSecOps 特別專注于 集成安全功能 ,而敏捷開發(fā)則專注于交付軟件。

知道如何保護你們的網站或應用程序免受勒索程序和其他威脅的侵害,實際上取決于你使用的軟件和系統(tǒng)開發(fā)。這可能會影響你選擇使用 DevSecOps、敏捷軟件開發(fā)還是兩者兼而有之。

DevSecOps 和敏捷軟件開發(fā)的不同之處兩者的主要區(qū)別可以歸結為一個簡單的概念:安全性。這取決于你的軟件開發(fā)實踐,你們公司的安全措施 —— 以及何時、何地以及由誰實施,都可能會有很大不同。

每個企業(yè)都 需要 IT 安全 來保護其重要數(shù)據(jù)。如果企業(yè)真正重視 IT 安全,一般都會采取虛擬專用網(VPN)、數(shù)字證書、防火墻保護、多因子身份驗證、安全的云存儲,包括向員工介紹基本的網絡安全措施。

當你信任 DevSecOps 時,你就會把公司的安全問題,本質上使其等同于持續(xù)集成和交付。 DevSecOps 方法論在開發(fā)之初就強調安全性,并使其成為整體軟件質量不可或缺的組成部分。

基于 DevSecOps 安全性的三大原則:

平衡用戶訪問難易程度及數(shù)據(jù)安全性使用 VPN 和 SSL 加密數(shù)據(jù) 可防止數(shù)據(jù)在傳輸過程中受到入侵者的攻擊使用可以掃描新代碼的安全漏洞并能通知開發(fā)人員該漏洞的工具來預測防范未來的風險盡管 DevOps 一直打算包含安全性,但并非每個實踐 DevOps 的組織都牢記這一點。DevSecOps 在 DevOps 的演進形式中,可以提供更加清晰的信息。盡管它們的名稱相似,但這兩個[不應混淆] 6 。在 DevSecOps 模型中,安全性是團隊的主要驅動力。

同時,敏捷開發(fā)更專注于迭代開發(fā)周期,這意味著反饋意見會不斷融入到持續(xù)的軟件開發(fā)中。 敏捷的關鍵原則 是擁抱不斷變化的環(huán)境,為客戶和使用者提供競爭優(yōu)勢,讓開發(fā)人員和利益相關者緊密合作,并在整個過程中始終保持關注技術卓越,以提升效率。換句話說,除非敏捷團隊在其定義中包括安全性,否則安全性在敏捷軟件開發(fā)中算是事后思考。

國防機構面臨的挑戰(zhàn)如果要說專門致力于最大程度地提高安全性的組織,美國國防部(DoD)就是其中之一。在 2018 年,美國國防部發(fā)布了針對軟件開發(fā)中的“假敏捷”或“以敏捷為名”的 指南 。該指南旨在警告美國國防部高管注意不良編程的問題,并說明如何發(fā)現(xiàn)它以避免風險。

使用這些方法不僅可以使美國國防部受益。醫(yī)療保健和金融部門也 保存著 必須保證安全的大量敏感數(shù)據(jù)。

美國國防部通過其現(xiàn)代化戰(zhàn)略(包括采用 DevSecOps)來改變防范形式至關重要。尤其在這個連美國國防部容易受到黑客攻擊和數(shù)據(jù)泄露的時代,這一點在 2020 年 2 月的 大規(guī)模數(shù)據(jù)泄露 中已經得到了證明。

將網絡安全最佳實踐轉化為現(xiàn)實生活中的開發(fā)仍然還存在固有的風險。事情不可能 100% 完美地進行。最好的狀況是稍微有點不舒服,最壞的情況下,它們可能會帶來全新的風險。

開發(fā)人員,尤其是那些為軍用軟件編寫代碼的開發(fā)人員,可能對 所有應該采用 DevSecOps 的情境 沒有透徹的了解。學習曲線會很陡峭,但是為了獲得更大的安全性,必須承受這些必不可少的痛苦。

自動化時代的新模式為了解決對先前安全措施日益增長的擔憂,美國國防部承包商已開始評估 DevSecOps 模型。關鍵是將該方法論部署到持續(xù)的服務交付環(huán)境中。

應對這個問題,出現(xiàn)了三個方向。第一種涉及到自動化,自動化已在大多數(shù)隱私和安全工具中 廣泛使用 ,包括 VPN 和增強隱私的移動操作系統(tǒng)。大型云基礎架構中的自動化無需依賴于人為的檢查和平衡,可以自動處理持續(xù)的維護和進行安全評估。

第二種專注于對于過渡到 DevSecOps 很重要的安全檢查點。而傳統(tǒng)上,系統(tǒng)設計初期對于數(shù)據(jù)在各個組件之間移動時依舊可以訪問是不做期望的。

第三種也是最后一種涉及將企業(yè)方式用于軍用軟件開發(fā)。國防部的許多承包商和雇員來自商業(yè)領域,而不是軍事領域。他們的背景為他們提供了為大型企業(yè) 提供網絡安全 的知識和經驗,他們可以將其帶入政府部門職位中。

值得克服的挑戰(zhàn)轉向基于 DevSecOps 的方法論也提出了一些挑戰(zhàn)。在過去的十年中,許多組織已經完全重新設計了其開發(fā)生命周期,以適應敏捷開發(fā)實踐,在不久之后進行再次轉換看起來令人生畏。

企業(yè)應該安下心來,因為即使美國國防部也遇到了這種過渡帶來的麻煩,他們在應對推出新流程使得商業(yè)技術和工具廣泛可用的挑戰(zhàn)上并不孤獨。

展望一下未來,其實切換到 DevSecOps 不會比切換到敏捷軟件開發(fā)更痛苦。而且通過將 創(chuàng)建安全性的價值 添加到開發(fā)工作流程中,以及利用現(xiàn)有敏捷開發(fā)的優(yōu)勢,企業(yè)可以獲得很多收益。