使用 CI/CD 进行漏洞管理和 DevSecOps

2018 年，90% 的金融机构报告称受到恶意软件攻击，同年全球勒索软件攻击增加了 350%。2020 年，Twitter、万豪连锁酒店、米高梅度假村、Zoom 和麦哲伦健康都报告了某种形式的安全漏洞 [1]。这些统计数据表明了安全和漏洞管理的重要性。组织需要将安全性作为其开发过程的一部分。让我们来分析一下。

DevOps 采用率高

开发是编写和维护代码的过程。它包括构思软件或功能并将其带入“现实世界”供其目标用户使用所需的所有活动。运营或 IT 运营是指组织 IT 部门执行的一组活动。IT 部门定义组织的软件和硬件的构造、维护和管理方式。开发需要软件工具和合适的硬件。因此，开发和 IT 相互依赖。DevOps 是一种软件开发方法，其中开发和运营不是作为两个独立的孤立团队运作，而是在应用程序的整个生命周期中作为一个团队运作。认识到这种方法的好处，当今大多数组织都使用 DevOps 模型。

另请参阅： 2020 年软件交付状况

DevSecOps 的必要性

然而，DevOps 模型未涵盖的一个重要领域是安全性，这导致了对 DevSecOps 的需求。安全漏洞可能出现在 DevOps 管道的多个点上。传统上，安全性是在开发生命周期结束时添加到软件中的，但正如开发和运营方法演变为 DevOps 一样，需要新的漏洞管理方法。安全性必须成为开发的一部分。将开发、运营和安全作为一个连续过程考虑的系统称为 DevSecOps。安全性集成到开发设计、集成、测试、部署和交付的所有阶段。DevSecOps 允许组织在安全问题出现时就解决它们。可以在问题更容易修复、成本更低、在它们进入生产并造成危害之前解决问题。

在 CircleCI 的这本电子书中，您可以找到有关现代开发人员和 DevOps 从业者如何使用 CI/CD 采用 DevSecOps 方法进行漏洞管理的信息。

来源：

1. nd，《2021 年网络安全统计数据、数据和趋势的终极清单》，Purplesec [可在线获取] 来源：https: //purplesec.us/resources/cyber-security-statistics/ [2021 年 4 月访问]