對(duì)DevOps的一種闡釋是它源自提高開發(fā)人員生產(chǎn)力的需求，因?yàn)殡S著開發(fā)人員人數(shù)的增長(zhǎng)，處理部署工作的運(yùn)營(yíng)人員出現(xiàn)人手不夠的情況。

一般技術(shù)企業(yè)的開發(fā)、運(yùn)維和信息安全工程師的比率是100:10:1。當(dāng)信息安全人員跟其他工程師在數(shù)量上的懸殊如此大時(shí)，如果沒有將自動(dòng)化且沒有將信息安全整合到開發(fā)和運(yùn)營(yíng)的日常工作中，那么信息安全人員只能做合規(guī)檢測(cè)工作，但它跟安全工程的目標(biāo)相反；另外，它還會(huì)招來人們的恨意。

開始行動(dòng)

1. 將安全融入到開發(fā)迭代演示中

這里有一種簡(jiǎn)單方法能阻止信息安全人員成為項(xiàng)目行將結(jié)束時(shí)的攔路虎：在每個(gè)開發(fā)間隔結(jié)束時(shí)邀請(qǐng)信息安全人員參加產(chǎn)品演示活動(dòng)。它有助于人人都理解跟組織機(jī)構(gòu)目標(biāo)有關(guān)聯(lián)的團(tuán)隊(duì)目標(biāo)、在構(gòu)建過程中看到它們的實(shí)現(xiàn)、并且有機(jī)會(huì)提供所需輸入以滿足安全和合規(guī)目標(biāo)，同時(shí)有足夠的更正時(shí)間。

2. 確保安全工作包含于開發(fā)和運(yùn)營(yíng)的工作追蹤系統(tǒng)中

信息安全工作應(yīng)該跟其它工作一樣可見于價(jià)值流。我們可在開發(fā)和運(yùn)營(yíng)人員日常使用的工作追蹤系統(tǒng)中追蹤信息安全工作，以此跟其它工作區(qū)分優(yōu)先順序。

3. 將信息安全整合到無可非議的事后剖析過程中

另外，在每次發(fā)生安全問題后做一個(gè)事后剖析以避免再次出錯(cuò)。在2012年舉辦的奧斯丁開發(fā)運(yùn)維日(Austin DevOpsDays) 活動(dòng)的演講中，多年來在Etsy信息安全公司擔(dān)任主管一職的NickGalbreth說明了他們對(duì)待安全問題的方式，“我們將所有的安全問題都放到所有工程師在日常工作中都會(huì)使用的JIRA工具中，這些問題要么是P1級(jí)別要么是P2級(jí)別，也就是說必須立即解決或者在本周末解決，即使只是個(gè)供內(nèi)部使用的應(yīng)用程序也不例外�！�

4. 將預(yù)防性安全控制整合到共享源代碼庫和共享服務(wù)中

共享源代碼庫是激發(fā)人人發(fā)現(xiàn)并復(fù)用組織機(jī)構(gòu)集體知識(shí)的良好途徑，不僅對(duì)于代碼而言是如此，對(duì)于工具鏈、部署流水線、標(biāo)準(zhǔn)以及安全來講也是如此。安全信息應(yīng)該包括保護(hù)應(yīng)用程序和環(huán)境的任何機(jī)制或工具，如為實(shí)現(xiàn)具體目標(biāo)而受安全保護(hù)的庫。另外，將安全工具增加到開發(fā)和運(yùn)營(yíng)人員日常使用的版本控制系統(tǒng)中能讓他們時(shí)時(shí)刻刻注意到安全需求。

5. 將安全整合到部署流水線中

為了讓信息安全始終成為開發(fā)和運(yùn)營(yíng)頭等考慮的事情，我們想繼續(xù)快速反饋跟他們代碼相關(guān)的潛在風(fēng)險(xiǎn)。將安全整合到流水線中涉及將盡可能多的安全測(cè)試自動(dòng)化，這樣它們就能跟其它自動(dòng)測(cè)試一起運(yùn)行。在理想情況下，開發(fā)或運(yùn)營(yíng)團(tuán)隊(duì)提交的每行代碼都應(yīng)該執(zhí)行這些測(cè)試，即使在軟件項(xiàng)目的最早階段也是如此。

6. 保護(hù)部署流水線免受惡意代碼影響

遺憾的是，惡意代碼可被注入到支持CI/CD的基礎(chǔ)設(shè)施中。隱藏惡意代碼的一個(gè)好地方是單元測(cè)試，因?yàn)闆]有人會(huì)查看這些測(cè)試而且一旦有人將代碼提交到庫中，這些測(cè)試就會(huì)運(yùn)行。我們能夠（而且必須）通過以下步驟保護(hù)部署流水線，如：

• 強(qiáng)化持續(xù)構(gòu)建和集成服務(wù)器，以便自動(dòng)復(fù)現(xiàn)它們。  查看版本控制中引入的所有變化，阻止持續(xù)集成服務(wù)器運(yùn)行不受控的代碼。  測(cè)試庫以檢測(cè)測(cè)試代碼何時(shí)包含可疑的API調(diào)用。

7. 保護(hù)應(yīng)用程序的安全

開發(fā)測(cè)試通常關(guān)注的是功能的改正。然而，信息安全關(guān)注的通常是測(cè)試可能出錯(cuò)的地方。信息安全并不是手動(dòng)執(zhí)行測(cè)試，而是將它們生成自動(dòng)化單元或功能測(cè)試的一部分，這樣就能在部署流水線中持續(xù)運(yùn)行。定義設(shè)計(jì)模式幫助開發(fā)人員寫代碼以阻止濫用也起著重要作用，比如為服務(wù)設(shè)置速率限制并在按下提交按鈕后將其灰度化。

8. 保護(hù)軟件供應(yīng)鏈的安全

僅僅保護(hù)應(yīng)用程序、環(huán)境、數(shù)據(jù)和流水線的安全并不夠，我們還必須確保軟件供應(yīng)鏈的安全，尤其是在有讓人驚訝的數(shù)據(jù)（見Sonatype發(fā)布的2015年《軟件供應(yīng)鏈狀態(tài)》報(bào)告以及Verizon發(fā)布的2014年《數(shù)據(jù)泄露調(diào)查報(bào)告》）顯示軟件供應(yīng)鏈易受攻擊的情況下。雖然使用并依賴商業(yè)和開源組件很方便，但同時(shí)也極具風(fēng)險(xiǎn)。選擇軟件時(shí)，檢測(cè)具有已知漏洞的組件或庫并跟開發(fā)人員一起仔細(xì)選擇具有快速修復(fù)追蹤記錄的組件十分重要。

9. 保護(hù)環(huán)境的安全

我們必須確保我們的環(huán)境處于一種經(jīng)強(qiáng)化且降低風(fēng)險(xiǎn)的狀態(tài)。這涉及生成自動(dòng)化測(cè)試以確保所有的恰當(dāng)設(shè)置都已正確應(yīng)用于配置強(qiáng)化、數(shù)據(jù)庫安全、密鑰長(zhǎng)度等。它還涉及通過測(cè)試掃描環(huán)境中存在的已知漏洞，并使用安全掃描器予以識(shí)別。

10. 將信息安全整合到生產(chǎn)測(cè)量中

通常，內(nèi)部安全控制在快速檢測(cè)安全事件中并不起作用，因?yàn)樵诒O(jiān)控中存在盲點(diǎn)或者沒有人每天在檢測(cè)相關(guān)的測(cè)量情況。為此要將安全測(cè)量整合到開發(fā)、QA和運(yùn)營(yíng)所使用的同樣工具中。這樣流水線上的每個(gè)人都能看到應(yīng)用程序和環(huán)境是如何在存在威脅的環(huán)境中表現(xiàn)的。在這種威脅環(huán)境中，攻擊者不斷嘗試?yán)�用漏洞、獲取未經(jīng)授權(quán)的訪問權(quán)限、植入后門并實(shí)施欺詐行為（等等）。