DevOps 提供效率和速度，而 DevSecOps 將安全措施集成到軟件開發(fā)生命周期的每個(gè)階段。然而，為了更好地理解 DevOps 與 DevSecOps 的區(qū)別，需要進(jìn)行更深入的檢查。

譯自 DevOps， DevSecOps， and SecDevOps Offer Different Advantages 。

在軟件開發(fā)行業(yè)中，DevOps(開發(fā)與運(yùn)維)和 DevSecOps(開發(fā)、安全和運(yùn)維)實(shí)踐有相似之處也有區(qū)別......兩者都有優(yōu)勢(shì)和劣勢(shì)。DevOps 提供效率和速度，而 DevSecOps 將安全措施集成到軟件開發(fā)生命周期的每個(gè)階段。但是，要更好地理解 DevOps 與 DevSecOps 的區(qū)別，需要更深入地審視。

通過敏捷性，開發(fā)團(tuán)隊(duì)獲得優(yōu)勢(shì)

DevOps 和 DevSecOps 之間的相似之處和區(qū)別始于敏捷項(xiàng)目管理以及敏捷軟件開發(fā)中的價(jià)值觀。敏捷管理建立在跨職能團(tuán)隊(duì)合作的重要性之上，成功的敏捷管理依賴于團(tuán)隊(duì)合作的效率以及不斷將客戶需求整合到軟件開發(fā)周期中。與其專注于流程、工具和大量的全面文檔，敏捷更注重培育組成開發(fā)和運(yùn)維團(tuán)隊(duì)的個(gè)人的適應(yīng)性、創(chuàng)造力和協(xié)作的開發(fā)環(huán)境。由于依賴于敏捷管理，DevOps 能夠產(chǎn)出滿足客戶需求的軟件。

而傳統(tǒng)的開發(fā)和測(cè)試方式可能導(dǎo)致溝通失敗和孤立的行動(dòng)，DevOps 要求項(xiàng)目負(fù)責(zé)人、程序員、測(cè)試人員和建模人員作為一個(gè)內(nèi)聚的整體更智能地合作。此外，客戶通過持續(xù)反饋成為 DevOps 團(tuán)隊(duì)中的重要和寶貴成員。將開發(fā)、測(cè)試和運(yùn)維團(tuán)隊(duì)融合在一起，可以加快生成代碼的過程，并因此以更快的速度將應(yīng)用和服務(wù)交付給客戶。

將持續(xù)反饋融入開發(fā)過程在 DevOps 中創(chuàng)造了質(zhì)量循環(huán)。因此，軟件開發(fā)周期的每個(gè)點(diǎn)都能夠持續(xù)保證質(zhì)量。以客戶需求為驅(qū)動(dòng)的質(zhì)量，程序員在編寫代碼的同時(shí)不斷檢查代碼錯(cuò)誤并適應(yīng)客戶的變更請(qǐng)求。隨著周期的繼續(xù)，測(cè)試人員根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估應(yīng)用功能。

通過持續(xù)集成(CI)和持續(xù)交付(CD)每日集成測(cè)試，速度、質(zhì)量和效率得以提升。團(tuán)隊(duì)可以快速檢測(cè)集成錯(cuò)誤，同時(shí)為客戶構(gòu)建、配置和打包軟件。這些實(shí)踐通過為客戶提供大量使用軟件和提供反饋的機(jī)會(huì)而循環(huán)往復(fù)。

DevOps 以及敏捷管理原則的運(yùn)用奠定了 DevSecOps 的基礎(chǔ)。兩種方法論使用相同的指導(dǎo)原則，并依賴于持續(xù)的開發(fā)迭代、持續(xù)集成、持續(xù)交付以及來(lái)自客戶的及時(shí)反饋。即使考慮到這些相似之處，“DevOps 與 DevSecOps 的區(qū)別是什么？”這個(gè)問題仍然存在。

在比較 DevOps 與 DevSecOps 時(shí)，目標(biāo)從僅僅關(guān)注速度和質(zhì)量轉(zhuǎn)變?yōu)殛P(guān)注速度、質(zhì)量和安全。關(guān)鍵的區(qū)別在于安全在開發(fā)周期中的定位以及對(duì)安全的責(zé)任共享。在 DevOps 框架中工作的團(tuán)隊(duì)會(huì)在開發(fā)過程結(jié)束時(shí)考慮安全需求。

相比之下，在 DevSecOps 框架中工作的團(tuán)隊(duì)會(huì)在軟件開發(fā)周期的每個(gè)部分都考慮安全需求，從開始到結(jié)束。因?yàn)殚_發(fā)和運(yùn)維團(tuán)隊(duì)共享責(zé)任，安全從一個(gè)附加功能轉(zhuǎn)變?yōu)轫?xiàng)目計(jì)劃和開發(fā)周期的一個(gè)重要組成部分。因此，DevSecOps 可以降低整個(gè)軟件開發(fā)過程中的風(fēng)險(xiǎn)。

DevOps 和 DevSecOps 之間還存在另一個(gè)區(qū)別。對(duì)于 DevSecOps 來(lái)說，質(zhì)量的定義不僅包括客戶需求，還將安全作為一個(gè)關(guān)鍵因素。因?yàn)榘踩谌肓?DevSecOps 從開始到結(jié)束的過程，設(shè)計(jì)過程包括開發(fā)人員、測(cè)試人員和安全專家。隨著這種思維方式和工作文化的轉(zhuǎn)變，開發(fā)人員必須認(rèn)識(shí)到他們的代碼以及代碼中的任何依賴都會(huì)對(duì)安全產(chǎn)生影響。在整個(gè)編碼過程中集成安全工具可以增加開發(fā)人員和測(cè)試人員發(fā)現(xiàn)可能打開應(yīng)用程序并導(dǎo)致網(wǎng)絡(luò)罪行的缺陷的機(jī)會(huì)。

CI 和 CD 的原則不僅用于自動(dòng)化流程，還可以導(dǎo)致更頻繁的編碼、測(cè)試和版本控制檢查和控制。將安全集成到開發(fā)過程中可以提供一個(gè)更大的窗口來(lái)降低或消除業(yè)務(wù)風(fēng)險(xiǎn)，同時(shí)縮短交付周期。

還有另一種選擇：SecDevOps vs DevSecOps

開發(fā)團(tuán)隊(duì)一直在尋找創(chuàng)造更好代碼和減少產(chǎn)品上市時(shí)間所需的方法。雖然 DevOps 和 DevSecOps 在速度和安全方面提供明顯的優(yōu)勢(shì)，但另一種替代方案已經(jīng)進(jìn)入了開發(fā)領(lǐng)域。SecDevOps 通過優(yōu)先考慮安全性和消除整個(gè)生命周期中的漏洞，使團(tuán)隊(duì)超越了將安全性集成到軟件開發(fā)的每個(gè)階段。在 SecDevOps 環(huán)境中，開發(fā)人員作為安全專家編寫代碼。

在比較 SecDevOps 和 DevSecOps 時(shí)，SecDevOps 更少地強(qiáng)調(diào)持續(xù)評(píng)估和溝通。它沒有像強(qiáng)調(diào)業(yè)務(wù)實(shí)踐、企業(yè)和縮短上市時(shí)間那么強(qiáng)調(diào)速度和效率。然而，當(dāng)考慮安全測(cè)試和風(fēng)險(xiǎn)緩解時(shí)，SecDevOps 與 DevSecOps 的比較出現(xiàn)轉(zhuǎn)機(jī)。

對(duì)于 DevSecOps，安全測(cè)試發(fā)生在編碼周期結(jié)束時(shí)。因?yàn)?SecDevOps 優(yōu)先考慮安全性，所以測(cè)試發(fā)生在軟件開發(fā)周期開始時(shí)。開發(fā)和運(yùn)維團(tuán)隊(duì)在計(jì)劃階段以及每個(gè)開發(fā)階段應(yīng)用安全策略和標(biāo)準(zhǔn)。編寫無(wú)錯(cuò)誤的干凈代碼成為每個(gè)團(tuán)隊(duì)成員的責(zé)任。

向 SecDevOps 轉(zhuǎn)型需要對(duì)安全策略和標(biāo)準(zhǔn)有深入了解的編碼人員。盡管 SecDevOps 可以減少代碼中的錯(cuò)誤，從而削減開發(fā)成本，但由于需要培訓(xùn)或聘請(qǐng)能夠識(shí)別和實(shí)現(xiàn)安全協(xié)議的編碼人員，一些成本可能更高。SecDevOps 還需要更長(zhǎng)的規(guī)劃過程，這可能會(huì)增加開發(fā)周期的成本。SecDevOps 團(tuán)隊(duì)還可能要求專門的軟件來(lái)檢測(cè)錯(cuò)誤和改進(jìn)數(shù)據(jù)保護(hù)的工具。因此，優(yōu)先考慮安全性的成本可能與企業(yè)尋求的所有利益不符。

SecDevOps vs DevSecOps vs DevOps......獲勝者是......

綜上所述，在 DevOps、DevSecOps 和 SecDevOps 的比較中，客戶是最大的贏家。每一種方法都有顯著的優(yōu)勢(shì)，并且都有相似的原則。然而，“贏”的定義各不相同，當(dāng)然可能涉及“取決于”這句話。雖然 DevOps 將開發(fā)和運(yùn)維團(tuán)隊(duì)匯集起來(lái)進(jìn)行更好的溝通和合作，但 DevSecOps 保持了對(duì)團(tuán)隊(duì)、客戶和上市時(shí)間的重視，稍微改變了模型，在開發(fā)過程的每個(gè)階段插入安全性。SecDevOps 對(duì)速度的重視較少，而是通過保護(hù)客戶免受導(dǎo)致網(wǎng)絡(luò)攻擊和聲譽(yù)或業(yè)務(wù)損失的漏洞。

當(dāng)前以及在可預(yù)見的未來(lái)，客戶在實(shí)現(xiàn)業(yè)務(wù)目標(biāo)和防范漏洞之間尋求平衡。將安全性從開始到結(jié)束地包含在內(nèi)，同時(shí)保持快速交付應(yīng)用程序給客戶并快速適應(yīng)客戶需求的能力，這為 DevSecOps 提供了業(yè)務(wù)優(yōu)勢(shì)。