介绍

如果DevSecOps很容易，那么我们甚至不需要谈论它，因为我们将免受所有漏洞的侵害，我们甚至不会受到任何网络攻击。实现一个trueDevOps策略很难，但是一个成功的DevSecOps更是难上加难。我们从Equifax、万豪(Marriott)、Facebook和谷歌(Google)等公司遭遇黑客攻击的惨痛经历中了解到这一点——这些事件突显了及早发现软件漏洞的重要性。

DevSecOps是在DevOps流程中集成安全实践的哲学。有了系统的方法，组织可以创建并交付安全的软件管道，确保他们在软件开发生命周期的早期减轻任何已知的漏洞。没有采用整体DevSecOps方法的公司所犯的最大错误之一是将安全性视为事后考虑。安全性不是一个孤立的问题，识别漏洞与您的软件开发生命周期密不可分。

企业对开源软件使用的持续增长，使代码库暴露在开源组件中隐藏的潜在漏洞和许可证遵从性违规中。问题是……我们如何持续保护我们的软件开发和交付生态系统，以减轻这些风险，特别是在攻击频率和强度都在增加的情况下?

必须将消除漏洞和确保许可证遵从性紧密集成到CI/CD管道中，以便尽早对它们做出响应。集成和持续的管道安全是可能的，但它需要it、开发、安全和运营团队的合作。