在最近一期的Continuous Discussions（#c9d9）播客中，一组行业专家讨论了为什么DevSecOps正式不仅仅是一个流行词，关于如何让组织中的每个人都拥有安全性的提示，以及他们自己的一些挑战和经验，将安全性引入软件交付中管道。那个小组成员：艾伦希梅尔，主编DevOps.com网站王晨曦，Rain Capital的常务普通合伙人；Derek E.Weeks，Sonatype的副总裁兼DevOps倡导者；GDIT国家安全部门首席架构师Paula Thrasher；联邦民用CTO集团技术总监Geetika Tandon；以及CloudBees的Sam Fell和Anders沃格伦，继续阅读为他们的一些顶级外卖！为什么选择DevSecOps？DevSecOps实际上更多的是一种文化转变，Shimel说："DevOps就是DevOps。不过，这不仅仅是开发和运营的问题。DevOps是关于整个组织采用一种共同的文化交互方式（包括安全性），并将安全性引入到这种文化中，融入软件协调装配线中。"将安全性整合到开发实践中需要大量的协作和沟通，王说："很容易说安全应该是这个过程的一部分。但实际上，这很难做到。当您有一个从输入到输出需要几天时间才能完成的安全测试过程，然后您让开发团队每天发布500个版本，这是两种截然不同的文化。这通常是一个迭代过程，但它需要大量的团队沟通，大量的坐下来，弄清楚安全性是其中的一部分，所以这不是一个简单的过程。"为什么DevSecOps而不仅仅是DevOps？"好吧，安全人员不一定会被邀请参加聚会，"Thrasher解释道："这是一个文化挑战，安全不一定是DevOps许多变革的一个整体部分。我认为‘DevSecOps’的存在，是因为要么我们把安全性排除在外，要么他们一直置身于正在发生的变革之外。"沃格伦认为，安全性和质量之间不应该有取舍："我渴望有一天我们不区分安全性和质量，因为，是的，在某种程度上，它们有不同的原则，但就最终用户而言，bug就是bug。"Weeks希望让不相信的人知道DevSecOps是真实的，而不仅仅是一个流行语："DevOps和security可以相互集成，并成功地实现规模集成。有几百人，甚至几千人的组织都有一个DevSecOps实践，他们在不断地改进它，添加了一个自动化的安全性，所以它肯定已经超越了流行语的地位。"在发布过程中包括安全性应该是一个无需考虑的问题，根据坦顿的说法："我认为这是常识。我甚至不明白安全是怎么被忽略的。我不明白我们怎么会有这么大的管道，我们每天要发布上百个代码版本，然后，砰，我们就被阻止了。DevSecOps的常见障碍和DevSecOps成功的模式需要时间，但Shimel仍然对未来充满希望："我们不会在一天之内煮沸海洋或改变世界，但我们将改变世界，我们将改变软件的交付方式，使软件和安全成为同义词王解释了一家公司是如何利用自动化技术成功地将安全性引入到他们的流程中的："我曾经合作过的一家公司在集装箱领域，他们有他们所谓的布朗注册处。因此，他们拥有由开发团队组装的代码，然后进入Brown的注册中心。没有其他代码可以进入布朗的注册，除非它来自他们自己的团队。然后从布朗的注册表中，安全团队自动进入并扫描它，然后只有那些通过扫描的人才能被放入他们所谓的黄金注册表。然后，他们可以将其部署到服务器上。"组织中的每个人都应该练习并准备好应对安全事件，"Thrasher建议道："最需要练习应对漏洞的人实际上不是安全人员。他们习惯于应对安全问题。是操作人员和开发人员不习惯于应对安全事件，他们没有装备，也没有接受过如何应对的培训。因此，当你的漏洞发生时，这是一个糟糕的新故事。"许多安全问题已经存在了很长时间，这是软件交付行业可以改进的地方，沃格伦说："大多数漏洞来自哪里？据我所知，其中绝大多数都来自众所周知的长期存在的安全问题，这些问题已经存在很长时间，或者至少从技术标准来看是长期存在的。"安全即代码"是将安全性与DevOps真正结合的下一步，Weeks解释道："我刚刚和欧洲一家大型电信公司的人交谈，他们说‘我是安全团队的一员，我们正在与开发部门合作，我们越来越近了。我们有所有这些规则和开发人员需要遵守的事情，我们一直在努力让他们更多地遵守这些规则和事情。这些规则或策略中有没有代码？他瞪着眼睛回答说："什么？密码？"Tandon与一位客户分享了一次令人大开眼界的经历："我见过这样一种情况，我们即将投入生产——DevOps在接近尾声的时候进行了安全保护，我们得到了4000次点击，我们不得不投入生产，其中大多数都被忽略了。那么，我们是真的在保护我们的系统，还是通过这样做使我们自己的系统更加不安全？"小心点插曲：想深入研究DevSecOps？约翰·德沃·德沃斯（John Devo-PS）和《企业手册》的作者约翰·德沃（John Devo-PS）将在"拉斯维加斯数码科技公司"和"SJ-Devo-PS公司"项目的"专家手上"立即在拉斯维加斯举行。注册空间有限！在伦敦的工作场所注册拉斯维加斯的工作场所这个帖子最初出现在DevOps.com网站.