最近，我们与DevOps.com网站企业管理协会将举办一个名为"GDPR、HIPAA和SOX时代的持续合规性和DevSecOps"的网络研讨会。由于法规遵从性和安全性要求对DevOps的成功仍然至关重要，当前的现实是，安全强制执行可能会对发布计划产生负面影响-尤其是在DevOps管道沿线的团队和流程之间存在差异时。enterprisemanagementassociates（EMA）的常务研究总监Torsten Volk和CloudBees的首席技术官Anders Wallgren联手讨论了DevSecOps的现状、大多数组织当前的现实以及为确保持续的合规性需要解决的挑战。他们还讨论了安全性和DevOps成功的关键指标。以下是他们讨论DevOps安全状况的主要收获首先，Volk和Wallgren从一开始就强调了将安全性纳入DevOps管道的重要性。他们还指出了企业在使用GDPR、HIPAA和SOX时面临的几个挑战。沃格伦在谈话开始时指出了一个重大的技术挑战："我认为唯一比跟上技术变化的成本更糟糕的是没有跟上技术变化的成本。我们经常看到的一个事实是，公司无法淘汰技术……每年、每月或每周，我们都在向堆栈中添加新技术，我们需要了解、管理和保护这些技术。这既困难又昂贵。沃尔克引用了最近的EMA研究来进一步解释企业面临的这些挑战："我们做了很多这样的研究报告。他们都得出了相同的结论：安全性和遵从性是第一大痛点。沃格伦从一开始就强调了烘焙安全性的重要性："安全性、质量、性能——所有这些都需要从一开始就被烤焦。它们需要被视为产品的特性，而不是事后考虑、运行时或部署权衡或操作问题。安全性当然是一个操作问题，一旦这些东西投入生产，就需要对它们进行监控。但你不能仅仅在发布产品前的最后一周增加安全性。"Current RealitiesVolk和Wallgren还强调了企业IT的现状。经常影响发布进度的挑战，比如DevOps和敏捷方法的差异，导致了安全性的挑战。此外，不同的云语言、DSL过度使用和Kubernetes的影响也严重影响了安全的现代化。那么，需要做些什么来克服这些当前的挑战呢？Volk看到了影响DevOps的这些当前现实："我们仍然看到在单个团队（即使是在同一个组织内）如何实现其DevOps管道方面存在很多差异。"Volk认为，云在这些差异中扮演了一个角色："使这种情况更有趣的是，每个云都使用自己的语言。要集中控制这一点（配置、部署过程以及如何设置所有内容）就更加困难，尤其是当您看到几乎一半的企业都在使用这三种超大型云时。他们中的很多人不止一个账户。通常，我们在同一个组织中看到几十个甚至几百个AWS或Azure帐户，它们的设置都略有不同。"随着话题转向YAML和DSL的过度使用，Wallgren补充了他对DSL的有利观点。然而，他警告了理解它的重要性："你必须明白你在做什么。从安全的角度来看，如果你把自己的方式复制到事物中，而不是真正理解你要修改的内容，你为什么要修改它，以及其他人应该如何修改它，那么你就有问题了。"管道和编排的构建对持续的合规性也是至关重要的，根据Wallgren的说法："如果你有一个合理构建的软件交付管道，这基本上就是你的软件供应链，那么对这类事情进行更新的破坏性要比那些临时手工完成的要少得多，因为你有能力在整个管道中运行所有的东西有了编排。在切换开关并将部署部署到更高环境中的阶段和生产环境之前，您必须确保一切正常。"Wallgren强调了软件交付管道灵活性的重要性："内置安全性和质量与拥有灵活的软件交付管道同等重要这使您能够非常轻松地运行新的扫描和测试，并非常快速地将其落实到位。"成功遵守法规的关键是通过建模和自动化，可以成功地实现对支持持续合规性的DevSecOps供应链的要求。Wallgren和Volk阐明了持续合规的要点，包括谁负责以及成功的关键指标。Wallgren强调了对安全性和漏洞负责的重要性："实际上，开发人员、QA人员、产品经理、产品所有者等都对应用程序的安全性负责。除非我们在所有工作中都认真对待这一点，否则我们会看到结果。"沃尔克补充道，合规的关键要素归结为一个关键因素："作为一个IT组织，绝不接受治理规则的例外，否则技术、运营，开发团队可能会产生影响交付关键路径的问题，并最终减缓业务价值的创造。每当你破例的时候，你基本上是让人们省去了遵守法规的捷径，然后你的审计仪表板就什么都没有了——这是个问题。因此，最好从小处做起，一路建立制衡机制。"抽象化有利于安全，"沃格伦说当安全成为"不"的部门时，就是一切都结合在一起的时候。我们不能独立地做决定；我们必须在任何人都能向前迈进之前共同做出决定——那是我们陷入困境的时候，这就是为什么我们不一次升级或应用补丁多年。我们不能移动任何东西，除非我们移动所有的东西。抽象层允许我们分离体系结构的各个部分，这对于安全性越来越重要。但这并不能免除任何人在抽象的每个层次上正确运行这些东西。"Volk补充说，度量最终可以帮助实现成功："我们仍然看到重复出现的安全问题，在整个企业的不同团队中，这始终是同一个根本原因。但是，根本原因并不总是在整个企业中得到一致的解决。因此，选择一些现在伤害你的因素，并且开始将这些因素的测量制度化，而没有任何借口，这是一个很好的起点，可以用来衡量基线，并在将来根据基线进行改进。"听沃格伦和沃尔克的充分讨论，查看网络研讨会录音这里：看现在！