DevSecOps

Термин DevSecOps означает слияние компетенций в области разработки (DEVelopment), безопасности (SECurity) и эксплуатации (OPerationS) на уровне культуры. Он добавляет в подход DevOps приоритеты в области безопасности — причем так, чтобы минимально вмешиваться в процессы разработки и эксплуатации. Как и DevOps, DevSecOps — это некий культурный сдвиг, который форсируется как самим фактом внедрения новых технологий, так и специфическими методами их внедрения.

Какую проблему решает

Практики DevOps включают непрерывную интеграцию и непрерывное развертывание. Кроме того, они ускоряют цикл разработки и релизный цикл приложений. К сожалению, если автоматизация релизов не учитывает интересы всех заинтересованных сторон (стейкхолдеров) внутри организации, она может усугубить существующие проблемы. А быстрый выпуск нового программного обеспечения без учета требований безопасности может усугубить проблемы с безопасностью на уровне всей компании.

Как именно решает проблему

DevSecOps фокусируется на устранении командной разобщенности и способствует созданию безопасных автоматизированных рабочих процессов. При выборе приложений для обеспечения безопасности организации должны использовать преимущества автоматизированных процессов CI/CD и контроля за соблюдением политик, которые расширяют возможности, полномочия и статус разработчиков. Цель практик DevSecOps — не блокировать работу инженеров, а обеспечивать следование политикам безопасности, в то же время предоставляя техническим командам точную и подробную информацию о том, как правильно развивать проект. При правильном внедрении организация получает более эффективное взаимодействие в коллективе, снижает количество инцидентов, связанных с безопасностью, и вызванные ими расходы.