前面写了一篇关于SDL实践方面文章,但是目前越来越多的公司开始转向了devsecops体系的建设,看了一些关于这方面的文章,浅谈一下自己的理解。devsecops说白了就是devops+sec。在devops的开发流程下嵌入安全。
由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽。如果有什么好的想法也欢迎交流~~
在了解devsecops以前,有必要了解一下开发模式的演变过程,大致经历了三个阶段:瀑布开发,敏捷开发,devops。这三个阶段并无优劣之分,只是适应的场景不同。
传统的开发模式,我们称之为瀑布开发。
瀑布模型,简而言之,就是等一个阶段所有工作完成之后,再进入下一个阶段。
这种模型适合条件比较理想化(用户需求非常明确、开发时间非常充足)的项目。大家按部就班,轮流执行自己的职责即可。
适用场景:用户需求非常明确、开发时间非常充足
目前随着市场竞争的加剧,传递的开发模型已经不太适合。等你把全部的功能开发完成上线,别人早就已经占领了市场,因此为了适应目前的环境,提出了敏捷开发。敏捷开发就是为了适应目前的互联网时代快速上线的需求,把大需求变成小需求,把大的时间周期缩小为短的周期,尽快上线运行。
适用场景:项目开发周期短,要求尽快上线
敏捷开发加快了版本更新的速度,但是它还存在着问题,那就是开发,qa,运维还是各干各的,成为了新的瓶颈。这时候devops就被提出了。
适用场景:对敏捷开发的进一步补充,通过对各种工具的使用,进一步加快开发部署过程
简单地来说,就是更好的优化开发(DEV)、测试(QA)、运维(OPS)的流程,开发运维一体化,通过高度自动化工具与流程来使得软件构建、测试、发布更加快捷、频繁和可靠。
devops打破了开发与运维之间的壁垒,促进开发和运维人员的沟通,增进彼此的理解。在DevOps的流程下,运维人员会在项目开发期间就介入到开发过程中,了解开发人员使用的系统架构和技术路线,从而制定适当的运维方案。而开发人员也会在运维的初期参与到系统部署中,并提供系统部署的优化建议。
目前经常说的CI/CD可以说就是把devops从理论变成现实的一种方案。开发人员和测试人员,运维人员使用CI/CD流水线确保以快速、安全和可靠的方式创建和发布软件。
下面的图可以比较形象的看出来他们的区别
devops既然讲究快速更新迭代,那么使用人工的方式就是行不通的。必须要借助自动化工具的帮助,下面是devops流程中经常会使用的工具。
代码管理(SCM):GitHub、GitLab、BitBucket、SubVersion
构建工具:Ant、Gradle、maven
自动部署:Capistrano、CodeDeploy
持续集成(CI):Bamboo、Hudson、Jenkins
配置管理:Ansible、Chef、Puppet、SaltStack、ScriptRock GuardRail
容器:Docker、LXC、第三方厂商如AWS
编排:Kubernetes、Core、Apache Mesos、DC/OS
服务注册与发现:Zookeeper、etcd、Consul
脚本语言:python、ruby、shell
日志管理:ELK、Logentries
系统监控:Datadog、Graphite、Icinga、Nagios
性能监控:AppDynamics、New Relic、Splunk
压力测试:JMeter、Blaze Meter、http://loader.io
预警:PagerDuty、pingdom、厂商自带如AWS SNS
HTTP加速器:Varnish
消息总线:ActiveMQ、SQS
应用服务器:Tomcat、JBoss
Web服务器:Apache、Nginx、IIS
数据库:MySQL、Oracle、PostgreSQL等关系型数据库;cassandra、mongoDB、redis等NoSQL数据库
项目管理(PM):Jira、Asana、Taiga、Trello、Basecamp、Pivotal Tracker
1)大规模使用容器技术带来的安全风险:镜像安全,k8s等平台安全,容器运行时安全,容器安全基线等
2)devops的微服务架构中存在大量的API接口,api接口的安全性如何防范也是需要思考的:api资产梳理,api漏洞检测
3)CI/CD平台的安全:如jenkins平台的安全
4)组件安全:为了快速交付使用了大量的第三方组件,这些组件的安全性也需要进行监控
上面这些