Devops正在改变开发人员和运营团队合作的方式,以更快地交付更好的软件。devops的核心是自动化。当自动化开发、测试和部署中的多个任务时,开发人员可以频繁地修改代码并部署到生产环境中。亚马逊(Amazon)是devops的主要支持者,它曾一度声称,每天部署的devops超过1000次。
但是这样一个加速的工作流有绕过安全编码实践的潜力,开发人员通常发现很难在第一时间融入安全编码实践。如果devops要继续发展下去,开发人员需要在软件交付生命周期的早期集成安全性测试。
这就是“坚固的devops”背后的理念,一场让开发人员负责安全测试的运动。坚固的devops插入了更多的安全测试点,以便在软件投入生产之前捕获潜在的软件问题,但这种方式不会中断持续的集成和应用程序交付。
分析师公司Securosis的首席技术官阿德里安•莱恩(Adrian Lane)表示:“‘坚固’是指在生产前对代码进行抨击,以确保其在投入生产后能够抵御外部威胁。”“要像攻击者那样对待你的代码。”
安全代码的devops方式
devops的核心目标是提供实现敏捷开发所必需的自动化和实践——并将软件开发从庞大的瀑布式项目转移到连续的交付管道中。