什么是DevSecOps
“DevSecOps”,一种全新的安全理念与模式,从DevOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。
DevSecOps过程开发过程
- 构建管理
- 配置和补丁管理
- 漏洞扫描和评估
- 账户和特权管理
- 日志和事件管理
- 更改检测和自动回滚
- 微隔离
DevSecOps和SDLC
SDLC过程
安全1.0
安全 2.0
安全2.0相对于安全1.0,实现方案更为细致。
具体过程有:
- 安全专家进行架构评审
- 使用 checkmax 静态代码扫描,和开发人员不断校对减低误报
- 使用 whitehat 动态代码扫描
- 使用GoASQ系统(已开源)进行专家检视