在将安全性纳入到软件开发生命周期(SDLC)中时,组织有多种工具和解决方案可供选择。然而,这些通常存在一些问题:要么难以部署、实施和扩展,要么无法提供有助于减轻实际安全风险的可行见解。由于每个SDLC 在结构、流程、工具和整体成熟度方面都不同,因此没有通用的二元蓝图来实施 DevSecOps.
通过采用与框架无关的 DevSecOps 模型(专注于应用程序开发和平台安全,以确保数字社会的安全、隐私和信任),组织将能够切实地处理DevOps 中的安全问题。该模型通过将安全嵌入到软件开发生命周期中,以满足所有在利益相关人(包括开发人员、运维人员和安全人员)连接过程中未被满足的需求。1
本文中的 DevSecOps 实施指南被组织成一系列实际职责和活动,旨在帮助数字安全领导者在开始进行 DevSecOps 时做出务实决策。
采用通常由软件开发和平台工程团队有机地建立,或者由领导层统一建立。无论驱动因素和利益相关者如何,组织都应将其 DevSecOps 实施视为一项迭代的持续改进工作,而不是一次性的瀑布项目。
本文的范围确定并扩展了成功的
关注微信
