對DevOps的一種闡釋是它源自提高開發(fā)人員生產(chǎn)力的需求，因為隨著開發(fā)人員人數(shù)的增長，處理部署工作的運營人員出現(xiàn)人手不夠的情況。

一般技術企業(yè)的開發(fā)、運維和信息安全工程師的比率是100:10:1。當信息安全人員跟其他工程師在數(shù)量上的懸殊如此大時，如果沒有將自動化且沒有將信息安全整合到開發(fā)和運營的日常工作中，那么信息安全人員只能做合規(guī)檢測工作，但它跟安全工程的目標相反；另外，它還會招來人們的恨意。

開始行動

1. 將安全融入到開發(fā)迭代演示中

這里有一種簡單方法能阻止信息安全人員成為項目行將結束時的攔路虎：在每個開發(fā)間隔結束時邀請信息安全人員參加產(chǎn)品演示活動。它有助于人人都理解跟組織機構目標有關聯(lián)的團隊目標、在構建過程中看到它們的實現(xiàn)、并且有機會提供所需輸入以滿足安全和合規(guī)目標，同時有足夠的更正時間。

2. 確保安全工作包含于開發(fā)和運營的工作追蹤系統(tǒng)中

信息安全工作應該跟其它工作一樣可見于價值流。我們可在開發(fā)和運營人員日常使用的工作追蹤系統(tǒng)中追蹤信息安全工作，以此跟其它工作區(qū)分優(yōu)先順序。

3. 將信息安全整合到無可非議的事后剖析過程中

另外，在每次發(fā)生安全問題后做一個事后剖析以避免再次出錯。在2012年舉辦的奧斯丁開發(fā)運維日(Austin DevOpsDays) 活動的演講中，多年來在Etsy信息安全公司擔任主管一職的NickGalbreth說明了他們對待安全問題的方式，“我們將所有的安全問題都放到所有工程師在日常工作中都會使用的JIRA工具中，這些問題要么是P1級別要么是P2級別，也就是說必須立即解決或者在本周末解決，即使只是個供內(nèi)部使用的應用程序也不例外�！�

4. 將預防性安全控制整合到共享源代碼庫和共享服務中

共享源代碼庫是激發(fā)人人發(fā)現(xiàn)并復用組織機構集體知識的良好途徑，不僅對于代碼而言是如此，對于工具鏈、部署流水線、標準以及安全來講也是如此。安全信息應該包括保護應用程序和環(huán)境的任何機制或工具，如為實現(xiàn)具體目標而受安全保護的庫。另外，將安全工具增加到開發(fā)和運營人員日常使用的版本控制系統(tǒng)中能讓他們時時刻刻注意到安全需求。

5. 將安全整合到部署流水線中

為了讓信息安全始終成為開發(fā)和運營頭等考慮的事情，我們想繼續(xù)快速反饋跟他們代碼相關的潛在風險。將安全整合到流水線中涉及將盡可能多的安全測試自動化，這樣它們就能跟其它自動測試一起運行。在理想情況下，開發(fā)或運營團隊提交的每行代碼都應該執(zhí)行這些測試，即使在軟件項目的最早階段也是如此。

6. 保護部署流水線免受惡意代碼影響

遺憾的是，惡意代碼可被注入到支持CI/CD的基礎設施中。隱藏惡意代碼的一個好地方是單元測試，因為沒有人會查看這些測試而且一旦有人將代碼提交到庫中，這些測試就會運行。我們能夠（而且必須）通過以下步驟保護部署流水線，如：

• 強化持續(xù)構建和集成服務器，以便自動復現(xiàn)它們。  查看版本控制中引入的所有變化，阻止持續(xù)集成服務器運行不受控的代碼。  測試庫以檢測測試代碼何時包含可疑的API調(diào)用。

7. 保護應用程序的安全

開發(fā)測試通常關注的是功能的改正。然而，信息安全關注的通常是測試可能出錯的地方。信息安全并不是手動執(zhí)行測試，而是將它們生成自動化單元或功能測試的一部分，這樣就能在部署流水線中持續(xù)運行。定義設計模式幫助開發(fā)人員寫代碼以阻止濫用也起著重要作用，比如為服務設置速率限制并在按下提交按鈕后將其灰度化。

8. 保護軟件供應鏈的安全

僅僅保護應用程序、環(huán)境、數(shù)據(jù)和流水線的安全并不夠，我們還必須確保軟件供應鏈的安全，尤其是在有讓人驚訝的數(shù)據(jù)（見Sonatype發(fā)布的2015年《軟件供應鏈狀態(tài)》報告以及Verizon發(fā)布的2014年《數(shù)據(jù)泄露調(diào)查報告》）顯示軟件供應鏈易受攻擊的情況下。雖然使用并依賴商業(yè)和開源組件很方便，但同時也極具風險。選擇軟件時，檢測具有已知漏洞的組件或庫并跟開發(fā)人員一起仔細選擇具有快速修復追蹤記錄的組件十分重要。

9. 保護環(huán)境的安全

我們必須確保我們的環(huán)境處于一種經(jīng)強化且降低風險的狀態(tài)。這涉及生成自動化測試以確保所有的恰當設置都已正確應用于配置強化、數(shù)據(jù)庫安全、密鑰長度等。它還涉及通過測試掃描環(huán)境中存在的已知漏洞，并使用安全掃描器予以識別。

10. 將信息安全整合到生產(chǎn)測量中

通常，內(nèi)部安全控制在快速檢測安全事件中并不起作用，因為在監(jiān)控中存在盲點或者沒有人每天在檢測相關的測量情況。為此要將安全測量整合到開發(fā)、QA和運營所使用的同樣工具中。這樣流水線上的每個人都能看到應用程序和環(huán)境是如何在存在威脅的環(huán)境中表現(xiàn)的。在這種威脅環(huán)境中，攻擊者不斷嘗試利用漏洞、獲取未經(jīng)授權的訪問權限、植入后門并實施欺詐行為（等等）。