應(yīng)用敏捷與安全如何兼存？

起初，企業(yè)以傳統(tǒng)的瀑布式研發(fā)模式把軟件開(kāi)發(fā)過(guò)程劃分為需求、分析、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試等不同的流程。這些流程有著嚴(yán)格的先后次序之分，只有當(dāng)前面的流程結(jié)束之后，下一個(gè)流程才能開(kāi)始運(yùn)轉(zhuǎn)。這種開(kāi)發(fā)方式好似瀑布的下落，由此命名為瀑布模型。

但隨著業(yè)務(wù)的發(fā)展，研發(fā)模式也在發(fā)生了不斷的演進(jìn)，傳統(tǒng)基于階段的瀑布研發(fā)過(guò)程，導(dǎo)致當(dāng)開(kāi)發(fā)對(duì)于迅速變化的業(yè)務(wù)響應(yīng)嚴(yán)重滯后，為此業(yè)界倡導(dǎo)通過(guò)敏捷的方式，快速迭代，小步快跑，持續(xù)集成，主動(dòng)擁抱變化。

敏捷開(kāi)發(fā)以用戶的需求進(jìn)化為核心，采用迭代、循序漸進(jìn)的方法進(jìn)行軟件開(kāi)發(fā)。把一個(gè)大項(xiàng)目分為多個(gè)相互聯(lián)系，但也可獨(dú)立運(yùn)行的小項(xiàng)目，并分別完成，在此過(guò)程中軟件一直處于可使用狀態(tài)。

如今，隨著移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，應(yīng)用從需求到上線的TTM（Time to market）越來(lái)越短，普遍存在的開(kāi)發(fā)和運(yùn)維的“混亂之墻”成為了斷裂點(diǎn)，為此業(yè)界開(kāi)始提倡DevOps的協(xié)作模式，敏捷精益的理念進(jìn)一步延伸到運(yùn)維側(cè)。同時(shí)，隨著云原生基礎(chǔ)設(shè)施的建立和CICD技術(shù)的發(fā)展，DevOps已廣泛得應(yīng)用到各個(gè)企業(yè)。

從“應(yīng)用敏捷”到“應(yīng)用敏捷+安全”

但是隨著數(shù)字化席卷各行各業(yè)，應(yīng)用進(jìn)入了我們生活的方方面面：人與人的互聯(lián)、物與物的互聯(lián)、人與物的互聯(lián)正在成為現(xiàn)實(shí)，應(yīng)用對(duì)于人和社會(huì)的安全威脅也逐日提升。由于應(yīng)用的安全防護(hù)和安全意識(shí)還普遍滯后，為此以Built-In Security和自動(dòng)化為基本理念的DevSecOps開(kāi)始得到重視。DevSecOps的理念在將安全融入敏捷過(guò)程中，即通過(guò)設(shè)計(jì)一系列可集成的控制措施，增大監(jiān)測(cè)、跟蹤和分析的力度，優(yōu)化安全實(shí)踐，集成到開(kāi)發(fā)和運(yùn)營(yíng)的各項(xiàng)工作中，并將安全能力賦給各個(gè)團(tuán)隊(duì)，同時(shí)保持“敏捷”和 “協(xié)作”的初衷。在這一理念中，企業(yè)的整個(gè)IT團(tuán)隊(duì)目標(biāo)統(tǒng)一，即在保障敏捷開(kāi)發(fā)的基礎(chǔ)上，共同背負(fù)起安全的責(zé)任。

DevSecOps引入自動(dòng)化安全

DevSecOps實(shí)際上是DevOps的延續(xù)和演進(jìn)。云原生技術(shù)加持下的DevOps使得應(yīng)用開(kāi)發(fā)和上線周期越來(lái)越短，傳統(tǒng)的安全團(tuán)隊(duì)上線前介入的模式已經(jīng)嚴(yán)重滯后，不僅不能有效的進(jìn)行系統(tǒng)的安全防護(hù)，而且也會(huì)影響應(yīng)用的交付速度。DevSecOps的最關(guān)鍵理念就是強(qiáng)調(diào)在應(yīng)用的全生命周期都內(nèi)嵌安全，同時(shí)提出安全的檢測(cè)和防護(hù)做到盡可能的自動(dòng)化，將自動(dòng)化融入安全，實(shí)現(xiàn)了質(zhì)量、安全和速度的最佳平衡。安全應(yīng)盡可能做到全場(chǎng)景，從基礎(chǔ)設(shè)施、代碼、鏡像、到架構(gòu)，同時(shí)需要做到覆蓋應(yīng)用的全生命周期，從開(kāi)發(fā)態(tài)、運(yùn)行態(tài)直至運(yùn)維態(tài)。

DevSecOps需要安全工具自動(dòng)化以及平臺(tái)化

在傳統(tǒng)的研發(fā)過(guò)程中，研發(fā)與安全割裂，主要是因?yàn)榘踩绊懷邪l(fā)效率，但自動(dòng)化的安全工具可以適用當(dāng)前的敏捷開(kāi)發(fā)需求。基于安全與DevSecOps的強(qiáng)烈訴求，華為云正在逐步的將華為20年來(lái)深耕安全的能力通過(guò)云服務(wù)的形式外溢，讓更多的企業(yè)能共享華為對(duì)于安全的先進(jìn)理念和技術(shù)實(shí)踐，華為云通過(guò)讓在DevOps的每個(gè)環(huán)節(jié)都通過(guò)規(guī)范、方法論和自動(dòng)化的安全服務(wù)，來(lái)實(shí)現(xiàn)DevSecOps的理念，如在創(chuàng)建應(yīng)用階段安全框架和編碼規(guī)范，嵌入IDE插件的代碼檢查等。下面我們?cè)敿?xì)逐一來(lái)看華為云所實(shí)現(xiàn)的安全工具自動(dòng)化以及平臺(tái)化。

平臺(tái)化：全流程云原生DevSecOps平臺(tái)

華為云提供云原生DevOps平臺(tái)：華為云DevCloud軟件開(kāi)發(fā)平臺(tái)。華為云DevCloud在業(yè)界具有較高的影響力，得到了專業(yè)咨詢機(jī)構(gòu)和客戶的官方認(rèn)可，在全流程、支持的技術(shù)棧與安全可信角度有較強(qiáng)的競(jìng)爭(zhēng)力，華為云DevCloud為客戶提供了從需求/規(guī)劃到運(yùn)維的多個(gè)服務(wù)。

自動(dòng)化工具與安全無(wú)縫連接

代碼托管服務(wù)是DevCloud為客戶提供的穩(wěn)定、安全的代碼管理服務(wù)，該服務(wù)同時(shí)也支持了華為內(nèi)部1100億行的代碼管理，多個(gè)安全可信的措施，多倉(cāng)協(xié)同和高并發(fā)。代碼分析和代碼檢查服務(wù)，也是華為自主研發(fā)的代碼靜態(tài)檢查服務(wù)，沉淀了華為多年的高質(zhì)量代碼檢查規(guī)則集，支持的語(yǔ)言多，標(biāo)準(zhǔn)多，同時(shí)提供了自動(dòng)化輔助缺陷修復(fù)的特性。

代碼構(gòu)建服務(wù)，為客戶提供了配置及代碼的構(gòu)建服務(wù)，支持豐富的構(gòu)建語(yǔ)言和框架，同時(shí)通過(guò)多種技術(shù)實(shí)現(xiàn)10倍+的構(gòu)建加速，并提供封閉的構(gòu)建環(huán)境，保證構(gòu)建階段的可信安全。云測(cè)服務(wù)，為客戶大規(guī)模，高并發(fā)，全流程的智能測(cè)試服務(wù)，提供測(cè)試管理，性能測(cè)試，API測(cè)試，移動(dòng)測(cè)試等多種專業(yè)測(cè)試服務(wù)，并通過(guò)測(cè)試設(shè)計(jì)的智能化，測(cè)試執(zhí)行的智能化和測(cè)試分析的智能化，提升測(cè)試的效率和攔截問(wèn)題的比例

同時(shí)，華為云在DevOps的基礎(chǔ)上，陸續(xù)增加安全設(shè)計(jì)，安全合規(guī)，安全檢查，和安全防護(hù)的專業(yè)服務(wù)，通過(guò)服務(wù)化的接口和華為云DevCloud進(jìn)行深度集成。同時(shí)，在已有的運(yùn)行、運(yùn)維安全的基礎(chǔ)上，進(jìn)一步全方面的加強(qiáng)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全與數(shù)據(jù)庫(kù)安全，讓云原生的應(yīng)用生得安全，活得安全。

而對(duì)于企業(yè)如何更好的實(shí)施DevSecOps，我們有以下幾個(gè)實(shí)踐：

安全可信應(yīng)該是每個(gè)人的責(zé)任，而不僅僅只是安全團(tuán)隊(duì)關(guān)心的事情。

重視架構(gòu)解耦，架構(gòu)解耦，低依賴，安全風(fēng)險(xiǎn)和影響范圍更可控。

重視自動(dòng)化和知識(shí)協(xié)同，不斷提升效率，通過(guò)知識(shí)分享，組織和個(gè)人持續(xù)改進(jìn)。

努力打造全功能團(tuán)隊(duì)，團(tuán)隊(duì)自治，破除部門墻，對(duì)商業(yè)和用戶負(fù)責(zé)。

安全可信+高效敏捷

從概念提出到現(xiàn)在，云原生所帶來(lái)的敏捷、開(kāi)放、標(biāo)準(zhǔn)化、輕量、松耦合與靈活的優(yōu)勢(shì)是企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)的基礎(chǔ)必選項(xiàng)。面對(duì)日益嚴(yán)峻的安全威脅和安全影響，云原生加持下的DevSecOps 理念和實(shí)踐，將安全自動(dòng)化內(nèi)嵌到應(yīng)用的全生命周期，在保證安全可信的同時(shí)，也依然能夠發(fā)揮云原生所帶來(lái)的高效與敏捷。

云原生 軟件開(kāi)發(fā) DevOps

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。