简介

如果DevSecOps很简单，那么我们甚至不需要谈论它，因为我们会受到所有漏洞的保护，甚至不会受到任何网络攻击。实现一个DevOps战略很难，但一个成功的DevSecOps就更难了。我们从艾奎法克斯(Equifax)、万豪(Marriott)、Facebook和谷歌等公司遭遇黑客攻击的惨痛经历中了解到这一点——这些公司强调了及早发现软件漏洞的重要性。

DevSecOps是在DevOps流程中集成安全实践的理念。通过系统的方法，组织可以创建并交付安全的软件管道，确保他们在软件开发生命周期的早期减轻任何已知的漏洞。没有对开发ops采取全面方法的公司所犯的最大错误之一是将安全性视为事后考虑。安全性不是一个孤立的问题，识别漏洞与软件开发生命周期是不可分割的。

企业使用开源软件的持续增长，使代码库暴露出隐藏在开源组件中的潜在漏洞和许可证违反。问题是……我们如何持续保护我们的软件开发和交付生态系统，以减轻这些风险，特别是在攻击的频率和强度都在增加的情况下?

消除漏洞并确保许可合规性必须紧密地集成到CI/CD管道中，以便尽早响应它们。集成和持续的管道安全是可能的，但它需要it、开发、安全和运营团队的合作。