如果你认为的DevOps作为失败的快 - 如Facebook用来放它,“移动速度快,破坏东西” - 那么你也可能会想快速释放,自动化和持续集成和部署给你更少的时间来发现安全问题。毕竟,你改变代码,更新的功能和更迅速地增加新的功能。这意味着更多的机会,引入错误或错过漏洞。
随着2016集是今年的DevOps成为主流 - Gartner预测全球的25%,2000家公司将使用DevOps的技术今年惠普企业是更大胆,声称“在五年内的DevOps将成为常态,当涉及到软件发展“。难道等待发生的平均安全问题?
克雷格•米勒(Craig Miller)曾帮助微软(Microsoft)的必应(Bing)搜索引擎实现持续部署(该服务现在每天更新四到五次),但他不认为这一定是真的。米勒说:“传统的反应是更快,这意味着质量可能会降低,或者有什么东西可能会通过这个过程,我认为这是完全不对的。”如果你做得对,CD提供了所有你需要的审计,以确保你推出的软件的可靠性。你必须确保你的软件是高质量的,我认为安全是质量的一个子集。”
Forrester分析师库尔特·比特纳同意。“有与DevOps的,速度是通过偷工减料和跳跃的重要步骤,它的不受控制实现了知觉,”比特纳说。“确切正好相反;这是一个非常可控,非常结构化的环境。这样做的DevOps权给你更高的质量,更好的可视性和速度,而不是通过偷工减料实现的速度。”
这应该是安全的更好,但前提是持续集成和持续部署与持续的安全和监控相匹配。
关键是集中式,标准化的传递管道这对DevOps的必要,基础件比特纳说。“你得到的可视性什么正在构建和你有机会注入各种活动;这可能是码扫描,或者它可能是同行评审,各种与安全相关的测试,在环境控制,并具有正确的设置。”
测试不是可选的
Miller对于自动化测试的重要性毫不妥协。“我认为对很多公司来说最大的失败是他们允许测试失败。我们对失败一点也不能容忍。他警告说,这可能意味着要改变你的工具以及你的开发实践。“我们使用的网络安全工具不是很容易升级;这是一个每周都有人使用的应用程序。我们不会接受一个工具,我必须让人替我跑。如果不能实现自动化,我认为这是设计上的问题。”
[相关:你做7个迹象DevOps的错]
Bing的部署期间签署的二进制文件的工具也手册;这两个被改写,这需要时间和精力,而且还提高了工具。“这是他们做事情的方式,但我们并不关心他们是如何做到的事情,”米勒说坚决。“我们不打算这样做。”
恢复快,适应和基于你学到的东西遍历,如作为速度的DevOps重要和米勒不喜欢的“快速失败”一词。“我喜欢学的快,因为我并不想失败;我想成功 - 但是当我没有成功我想学习,并希望下一次来临时,我们知道如何做到这一点现在好了,并逐步得到更好的随着时间的推移“。
“把护栏了在高速公路上让你走得更快,慢不得,”艾伦·夏普 - 保罗,DevOps的工具供应商Upguard的联合创始人。“通过适当的检查,你发现问题,他们成为搅局者,并在生产中的安全隐患之前。而当它的一部分的自动化工作流程的,开销基本上是零。”
这就是在木偶的的DevOps的报告显示2015年国家的数字,以及:“高绩效IT组织部署30倍更频繁地200X更短的交货时间;他们有60X故障少,恢复快168X“。
OpenSSL中心脏出血漏洞错误是其中的良好的示范,表明比特纳。“人们谁了DevOps的和更好的管道运输能够迅速作出反应,并且在得到了一些企业的关注;他们几乎能够立即响应和其他人争先恐后。当威胁时,能够迅速作出反应是大的区别。”
米勒观点,即中的DevOps的好处之一。“因为CD强调了有代码审查过程中,小的入住和快速缓解随之而来。如果你可以部署一个一天四分五次,您可以减轻小时之内的东西。”
微软开发工具团队的Sam Guckenheimer说,同样的情况也适用于发现漏洞。“对于DevOps,你会担心一些事情,比如平均检测时间、平均修复时间、多快可以找到妥协的指标。如果配置中出现异常,你可以使用遥测技术来帮助你检测,你可以不断改进你的遥测技术——因此你可以得到更好的检测,你可以更好地发现妥协的迹象,你也可以更好地进行补救。”
持续部署,使攻击者很难生活在两个方面,的Guckenheimer解释。“如果你是坏人你想要什么做的呢?你想,有很多雪花和很多地方隐藏未触及静态网络。如果有人检测你,你要能够发现的防守动作,所以你可以采取的对策。”