北京哪家医院看皮肤病白癜风最好 http://www.yunweituan.com/m/作者
liumiaocn
责编
徐威龙
出品
CSDN博客
封图
CSDN下载于视觉中国
年DORA发布了DevOps的研究报告,迄今为止这已经是DORA的第八次报告的发布。相较于往年的报告,年的报告全篇只聚焦于一个要素:安全。
在年DORA提供了一个包含五个步骤的模型来帮组企业更好地开展或者推进DevOps的实践,而将安全与DevOps实践进行融合的时候,往往发现会存在很多困难,这份报告将会从多个方面对安全的融入进行展开分析。接下来让我们来看一下这份报告能够给我们带来哪些启迪。
研究人员随着理念的推广,DevOps不再只停留在词汇和概念的程度上,已经得到了普遍的接受和认可。与年类似,这份报告的主导者仍然是puppet和splunk,除此之外加入了一个新的成员circleci,很有趣的事情是主要作者仍然是下面的四位,连头像都没有变化,唯一的区别是是MichaelStahnke从puppet的directorofengineering变成了circleci的VP。不过这些对读者来说并不那么重要,大家所关心的是他们的产出所能带给我们的启发。
安全融入所带来的挑战安全是一个非常重要的概念,需要给予足够的重视,这个想法深入人心,但是在很多项目进行安全实践相关的融合时,都会发现这个想法显得过于理想化,观念上的重视和事实上的轻视在实际的实践中同时被展现了出来。
安全增强相较于功能特性的增强,对于企业来说,并不能时时清晰可感,它更像保险,只有安全事故出现的时候才会觉得后悔,所以特性增强一般会排在首位,其次才是安全增强,而实际上排名“其次”的第二名永远都得不到足够的重视,后面我们也将会使用一些数据来佐证这个观点。
在这份报告中,对企业在实施DevOps转型时如何进行安全融入、以及安全融入对企业的产出的影响,都在报告中给出了结论。
内容概要
1、DevOps的实施会对安全带来正向影响
一般来说,需要在DevOps实践中进行安全融入的企业都是那些已经走过初期阶段企业,DevOps的实践已初见成效,需要在整个企业内部进行展开,这种情况之下,自然需要在安全上进行进一步的强化。
解读:在年的调查报告中,DevOps实践很好的团队之中有高达22%的比例达到了安全集成的最高级别。DevOps的CAMS在安全的融入方面同样起效,可靠性、可预测性、可测量行和可观测性不仅仅带来了安全的环境,更为重要地是将这一切结合了自动化之后所带来的安全事件响应速度的效率提升。
好的DevOps文化能够支持更严格的安全策略的贯彻执行,在有着Sharing(分享)的文化的团队之中,团队使用通用的工具,合力完成共同的目标,安全也自然成为了一种共同的责任,在这种文化之下,“部门墙”会相对更为容易跨越,在问题出现的时候,自然也会得到最早地解决。
2、在软件交付中深度集成安全使得团队更加自信
根据调查报告显示,安全级别达到最高级别的受访者有82%对公司的安全有足够信心,而没有进行安全集成的受访者中,这一比例仅达到38%,这一调查结果充分显示在软件交付中,深度集成安全使得团队更加自信。
解读:集成安全并不只是简单的“左移”,而是需要从整体上进行解决,比如强调跨团队的协作、增强自动化在检测和预防方面起到的作用,同时需要打破部门之间的知识孤岛,使得成员都能够参与进来。在安全改进方面使用的最为广泛的几种实践如下所示:
团队协作:基于威胁模型分析,安全团队和开发团队增强合作应对安全威胁工具集成:安全工具集成到开发的流水线中,可以增强开发工程师对于其开发的代码中不会引入已知的安全问题的信心。安全需求:从功能性和非功能性综合考虑,将安全相关的需求列到产品任务清单中。人工评审:从安全专家的角度对于自动化测试进行评估,重点包括那些具有较高风险的代码变更内容,比如认证和加密相关部分。基础框架安全:与基础框架相关的安全策略需要在部署之前进行评审。重点:所有的这些内容大多数公司都知道应该做,但是往往因为种种原因却没有去做,这是一种普遍的情况。
3、在软件交付生命周期集成安全会带来积极结果
调查报告发现:
生产环境的按需部署效率提升:安全集成级别较高的受访者所在公司在按需进行生产环境部署方便达到了61%的比率,而安全级别较低的受访者所在公司在这一比例仅能达到49%。修复时间相差不大:调研之前的假定认为安全集成级别较高的公司能够更快部署、更快修复安全性问题,但是实际反馈结果显示在修复问题的时间方面目前相差无几。安全改善效率更高:安全集成级别较高的公司能够在进行功能特性交付的时候更加有效的强化安全改善,在发现交付只生产环境处理安全问题时的处理更有效率。解读:在软件交付生命周期中安全集成地越深入,交付团队对于团队共同安全责任的理解更加清晰,同时对于对于潜在的对于业务的风险也会降低地更多,安全问题也会得到更多的重视。
4、中间过程可能会是混乱和难熬的
正像DevOps个别的成功推广开来碰到的问题一样,中间的阶段和过程可能是混乱无序、非常难熬的。在项目刚开始的时候,很多未知的问题和障碍还未出现,还没有大面积普及的情况下,往往较为顺利的看到了预定的结果,但是很快随着集成的深入,很多问题就会出现,这就是非常难熬的中间阶段。安全集成也是这样,往往解决了一个问题,就会引入一个新的问题,我们不知道这漫长的中间阶段到底有多长(不过根据经验来看一般比想象的要短,但是难熬的日子往往觉得很漫长)。比如如下是-年的中间阶段的企业的比例构成:
解读:在难熬的中间阶段,安全的融入所需要的协作、沟通甚至有时会拖慢交付的速度,安全审计的问题会增加,这些都会带来额外的工作和注意力,需要组织级别同时相应地根据情况进行变化以适应,但是这都是中间阶段所需要处理的细节问题。抱着必定得到拯救的信心坚持下去吧,光明就在前方,除此之外我们也别无选择。而从和年连续数据也能够佐证这一观点:虽然整体在不断成熟,但是除去做的非常完善的和尚未起步的,连续两年卡在中间的企业都高达79%,说明DevOps演化还将是一个长期的过程。
数据来源
1、区域
整个亚洲占到整体调研数据的19%
解读:按照国家来确认,中国的反馈占到这19%的8%,所以这份调研报告所能体现出中国在其中的比例大概为1.5%(19%*8%),所以这又是一份基本不能代表年中国DevOps最新发展状况的数据,但是对于整体的发展趋势可以有所了解。
2、行业与规模
科技与金融仍然撑起半壁江山,而零售/通信/教育/医疗/政务/健康/保险/制造等主要行业也达到40%左右,整体行业均有涵括,非盈利的机构依然能够占到1%的比例。
年对组织大小的判断继续延续年的方式,定义在年度营业收入,使用annualrevenue将组织进行划分,10亿美元以上的组织占到28%,相较于年略有提高,相较于年低于M$营收的公司44%的比例下降至30%,其余规模的组织比例也较为均衡。
3、角色
受访者仍然以管理人员偏多,IC(IndividualContributor)仅占26%,这一比例很巧合地跟年完全一致,其他成员的比例也大体相差无几。
4、DevOps团队
随着DevOps理念和实践的不断推广,与DevOps团队相关的工作人员也开始逐年递增,以下是到年DevOps团队的占比情况:
在年,由于团队的人员的职责进一步细化,在年显示的DevOps团队仅占22%。
解读:看似下降的比例,但是考虑到如下三部分都属于DevOps的范围,比例已经为22%+4%+2%=28%
Sitereliabilityengineering:4%Releaseengineering:2%DevOps:22%同时在年重点融合的安全相关的部分,也同样可以认为是DevOps团队的延伸,所以结合起来仍然在进一步上升,名称可能有所变化,但是方式和职责明显是更为细化和清晰。Informationsecurity/securityoperations:6%Complianceaudit:1%
DevOps实践中的安全集成
1、DevOps的演进模型中的安全集成
在年的报告中提出了企业在DevOps演进时的5个阶段的模型如下所示:
我们可以看到在第4阶段中通过自动化安全策略配置来帮助DevOps在安全方面升至第5阶段,而第5阶段的一个关键实践就是自动化的事件响应,同时安全团队在设计和开发的阶段都进行融入都是第5阶段需要做的事情。
2、安全集成的模式和实践经验
DORA八年的DevOps调研结果显示:当运维需求集成进软件交付流程中,更快的部署、更少的错误、更省时的修复、更少的手工作业都是可以期待的,同样在安全集成的时候在如下方面将会有哪些影响也是我们所
