当 DevOps-as-a-Service (DaaS)遇到安全问题时

当 DevOps-as-a-Service (DaaS)遇到安全问题时

作为服务提供的最新 IT 方法之一是 DevOps，这是一种将开发和运营团队聚集在一起的文化和实用方法。DevOps-as-a-Service (DaaS)确保与 DevOps 工具和基础设施的选择、管理和维护相关的所有事情，包括所有的策略和过程，都通过一个能够向整个组织的开发团队提供这种服务的中央团队来解决。

从30,000英尺的角度来看，DaaS 代表了 DevOps 的功能，从业人员可以通过门户和 API 访问这些功能。因为 DevOps 的功能在组织中各不相同，所以这些服务没有标准化。对于业务而言，DaaS 增强了竞争。应用程序用户和开发人员发现，DaaS 改善了整体软件开发，而专业的 DaaS 团队表示，它改善了 DevOps 功能的管理。

DaaS 的其他好处是什么？

DaaS 提供了许多好处，特别是对于那些不再愿意花费所有时间配置和部署必要的安全工具来运行 DevOps 管道的开发团队来说。这意味着不再需要理解 DevOps 工具和底层基础设施之间的所有差异，因为适当的工具和技术会自动部署到开发团队中。因此，开发人员能够集中精力以业务的速度创建创新软件。

此外，Daas 以更简化的流程的形式提供明确的业务和运营效益，以促进整个企业的 DevOps。Daas 支持治理，同时还支持对开发工作负载和生产力的集中监督和可见性。正如我们所知道的，这种转变导致了团队之间责任的增加和业务流程的全面优化。通过工具选择增加资源效率和成本节约，很容易看出为什么 DaaS 在软件开发领域找到了一个家。

但是，尽管存在这些好处，Daas 也提出了传统管理解决方案无法完全解决的新的安全挑战。这些方法通常是缓慢的、昂贵的和/或难以置信的复杂的。

安全和 DevSecOps 呢？

因为 DevSecOps 的原则主动地处理与 DevOps 流程相关的风险和威胁，所以近年来它得到了迅速采用。通过在 DevOps 流水线中集成 AppSec 工具和策略，开发人员能够在软件生命周期的早期(而非事后)发现并修复安全漏洞。这种能力允许开发人员从一开始就生成安全和高质量的软件，同时还可以防止由于生产中最后一分钟的安全检查而导致的部署延迟。随着 DevSecOps 流程的到位，AppSec 测试对于开发人员来说变得无缝且透明，他们需要无摩擦的体验来促进稳定可靠的软件开发和部署。

DevSecOps 自然适合于服务即服务(as-a-service)交付模型。与 DevOps 类似，AppSec 涉及各种工具、政策和流程，需要一定程度的专业知识，更不用说选择、维护和部署这些工具、政策和流程以推动 DevSecOps 实践所需的时间和资源。寻求实现和管理 DevSecOps 的安全和开发团队可以从集中定义和管理的流程中获得重大好处，该流程由专家团队管理，并“作为服务”交付给负责 DaaS 的人员。

通过 DevSecOps-as-a-Service 产品使 AppSec 标准化，将保证安全性在所有 DevOps 活动中得到平均应用，从而使企业能够一致地生产安全和高质量的软件，同时也支持 AppSec 的合规要求。这种转变也为我们找到 AppSec 的整体和同质视图奠定了基础，这种视图对于应用程序和业务风险的评估和管理至关重要。

开发 DaaS 度量

首先，不要试图通过同时测量所有应用程序。相反，选择一个受 DaaS 流程支持的应用程序，并指定一个专门的团队为该应用程序开发度量标准。这个团队可以从很多方面入手，但可能包括利益相关者、开发人员和其他支持 DaaS 的角色。服务水平指标(SLI)和服务水平目标(SLO)也包含在这个模型中，它们被选择来最好地适应单个应用程序的需求。

一旦确定了 DaaS 的最有价值的 SLO，就可以对服务进行定制，以识别最关键的 SLI。有了这些知识，诸如仪表、遥测和分析需求之类的东西就可以被识别出来，并用于设计警报、仪表板、分析仪等等。接下来，围绕问责制建立政策和程序，建立一个完整的解决方案。一旦对所选应用程序的解决方案进行了测试，信心就会产生，并创建一个更容易的过程来适应和扩展其他应用程序的过程。

这意味着 DaaS 可以为组织和依赖它们的团队提供许多关键功能。然后，专门的 DaaS 团队可以找出在任何应用程序上实现更大实现的最佳指标。因此，可以为将来的其他应用程序发展 SLOs，将其作为未来改进的基准。

本人抖音账号：里面有最新最流行的automation devops等技术的介绍，欢迎大家一键三连。

举报

来源：科技狠活与软件技术