[科技界] F5安全专家谈 DevSecOps：通过设计实现安全性

如果有人问:是什么在改变这个时代的技术生态？答案可能是物联网(iot)、人工智能(ai)、机器人或者一些即将出现的新事物。但对于那些经历过技术不断迭代的人来说，接下来的新事物不仅仅是一个抽象的概念，而是一种可以推动当前应用驱动的全球经济的方法，这就是devsecops(开发、安全、运营的缩写)。最近，f5亚太安全专家shahnawaz backer在一个技术博客中分享了基于devsecops实现安全的概念。

知名研究机构infoholicresearch的研究结果显示，未来几年全球devsecops市场有望在亚太市场增长，尤其是在中国、新加坡、日本和印度，这也反映出devsecops平台日益受到重视。

Devsecops从一开始就提倡将安全性集成到开发工作流中。换句话说，devops集成了软件开发和运营，把孤岛淘汰作为一种文化，使其能够快速提升和提升性能。

安全设计最初被认为是技术提供商经常过度推广的概念，因此多次受到质疑。在devsecops平台上，从根本上实现了安全性。

devsecops在devops领域的地位如何？

F5认为devops需要一种新的思维模式来接受这种新的软件开发方法。Devsecops是一种方法，要求从业者在持续集成和交付(ci/cd)的过程中优先考虑安全性。现实是很多开发人员不是安全专家，反之亦然，很多安全专家不做开发工作。

那么，如何将安全性更好地融入到软件开发的整个生命周期(sdlc)中呢？F5安全专家指出，在devops环境中，应用开发通常是一个快节奏、动态的过程。对于这个问题，我们还需要使用安全测试工具和最佳实践来帮助组织跟上进度。

如今企业面临的应用环境越来越复杂，应用的更新迭代已经从一年一次更新到几乎每天一次，速度有了很大的提升。因为devsecops流程并不总是简单的，it部门需要深入研究其渠道，以了解信息的类型和以后可能出现的潜在漏洞，然后获得成功的衡量标准。

Devsecops要求确保it安全和应用程序安全成为每个人的责任。从早期使用的安全测试工具到与客户的沟通，它反映了整个生命周期的需求。

安全性和速度的挑战

devops从业者第一次进入devsecops遇到的另一个问题是速度。例如，在部署应用安全工具(ast)时，it团队通常希望为实现留出足够的时间来确保其可靠性。然而，对于需要速度和敏捷性的组织来说，这将成为一个小缺点。组织需要考虑并最大限度地减少时间成本的影响。

还有一些实际的问题，比如保证工具和技术在容器中工作得最好，甚至保证使用的ast工具不会对容器的可伸缩性产生负面影响。但是，如果ast工具的图像占据了空的很大空间，或者需要将数据存储在一个容器中，这种情况就会发生。然而，ast工具也需要时间来运行，它们会降低整个ci/cd通道的速度。

有趣的是，ci/cd频道在概念上从未将安全性视为首要性能，而是更加注重速度和便利性。随着devsecops概念和方法的引入，开发过程中的每个人都有责任确保安全性。但是这样会导致发展缓慢，所以这种方法被认为是创新的拦路虎。事实上，只有将安全放在首位，it组织才能避免安全威胁造成的损失和损害。

最后，f5安全专家提醒，由于devops的快速迭代特性，人们应该关注其改进速度，并将安全性作为一个必要的特性。因为今天，安全性不再仅仅是一个关键性能。在devops和devsecops完全集成之前，后者将在各种环境中充当临时分支，以突出安全性在应用程序开发中的作用。