DevSecOps 简介（一）（devsecops实战）

DevSecOps 简介（一）（devsecops实战）

Cearley 还指出，企业投资防火墙、IPS 等外围防御系统本身无可厚非。但是，在塔吉特、家得宝及索尼等公司爆出的安全漏洞使其损失惨重，显然，单纯地守卫边界是不够的。在 DevOps 方案中添加安全理念之后，CIO 与其团队将不得不更加细致地考虑安全——在软件开发过程的一开始，而不是事后，就考虑安全问题。

然而，在传统的 IT 组织中，往 DevOps 实践添加安全理念更多地是人与流程的问题，而非技术问题。在许多公司组织当中，团队们在相互独立的环境中工作，甚至不存在共同的隔墙，Cearley 指出。不过，将所有人召集到同一个房间里比在所有人之间达成共识要容易得多。幸运的是，大多数企业都一个人专注于打破文化障碍，同时要求安全融入 DevOps 最佳实践，这个人就是 CIO(首席信息官)。

”CIO 是唯一能够推动安全融入 DevOps 实践的人，因为安全团队、运营团队、应用团队以及架构团队全都向他汇报“ Cearley 指出。”CIO 是领导者；CIO 必须告诉他的团队：“如果你们不能协同工作，那就没必要留下来了”。

DevSecOps 宣言

CIO 驱动不同团队间的相互协作专注于风险，而非安全

Cearley 指出，"对抗团队在工作中”先入为主的观念与偏见”将是 CIO 面临的最大挑战。“ CIO 应该引导团队重新考虑问题。对此，有什么好的建议吗？Cearley 补充道：“CIO 不应该简单地接受关于应用开发、运营以及安全的单独报告，而应该强调合作的重要性，要求“以统一的方法开发、运营以及管理我们提供给用户的服务，同时保证这一过程的安全性。”

Cearley 还建议 CIO 们不应聚焦于安全，而应该重视风险，这可以帮助 IT 团队更好地实现业务视角与开发流程的整合。”如果你从安全出发，重点就变成了需要哪些工具来实现终极的安全。抱歉的是，这是错误的焦点，“ Cearley 指出。“ 你必须从风险入手。”通过时刻关注风险，CIO 将帮助企业理解 IT 如何帮助企业进入新市场或尝试新型的分析技术，以及 IT 如何最小化这样做的潜在危险。