Что такое DevSecOps?
DevSecOps расшифровывается как development, security и operations. Это подход, автоматизирующий интеграцию задач информационной безопасности на всех этапах жизненного цикла разработки ПО, начиная от проектирования, заканчивая интеграцией, тестированием, развертыванием и доставкой ПО.
На самом деле DevSecOps — это не что-то избыточное, сложное и замудреное, а не более чем закономерный и даже необходимый этап развития подходов к обеспечению безопасности при разработке современного программного обеспечения. Давайте вспомним о том, что еще не так давно задачи информационной безопасности «достраивались» ближе к концу жизненного цикла разработки ПО, и это происходило как что-то второстепенное, а непосредственно за обеспечение и тестирование безопасности несли ответственность отдельные команды соответствующих специалистов.
И все было довольно неплохо, да и ситуация оставалась под контролем, но ровно до тех пор, пока обновления софта выходили всего несколько раз в год. Однако появились уже всем хорошо известные методики Agile и DevOps, направленные на сокращение длительности циклов разработки до нескольких недель и даже дней. В результате традиционная стратегия по обеспечению информационной безопасности стала неприемлемой.
И вот тут на сцену и вышел DevSecOps. В настоящее время этот подход обеспечивает интеграцию задач по обеспечению безопасности программных приложений и инфраструктуры непосредственно в инструменты и процессы Agile/DevOps. Таким образом DevSecOps позволит решать проблемы ИБ по мере их возникновения, то есть в тот момент, когда эти проблемы можно решить с минимальными временными и материальными затратами времени, то есть до развертывания функций в рабочей среде.
Вдобавок к вышесказанному, DevSecOps дает возможность разделять ответственность за безопасность приложений/инфраструктуры между экспертами по разработке, безопасности и эксплуатации IT-систем. Именно это и позволяет реализовать главный девиз DevSecOps:
«Разработка ПО. Безопаснее. Быстрее»
А достигается такой эффект посредством автоматизации доставки безопасного программного обеспечения без замедления цикла разработки.
По материалам блога IBM: https://www.ibm.com/cloud/learn/devsecops.