起初,企业以传统的瀑布式研发模式把软件开发过程划分为需求、分析、设计、开发、测试等不同的流程。这些流程有着严格的先后次序之分,只有当前面的流程结束之后,下一个流程才能开始运转。这种开发方式好似瀑布的下落,由此命名为瀑布模型。
但随着业务的发展,研发模式也在发生了不断的演进,传统基于阶段的瀑布研发过程,导致当开发对于迅速变化的业务响应严重滞后,为此业界倡导通过敏捷的方式,快速迭代,小步快跑,持续集成,主动拥抱变化。
敏捷开发以用户的需求进化为核心,采用迭代、循序渐进的方法进行软件开发。把一个大项目分为多个相互联系,但也可独立运行的小项目,并分别完成,在此过程中软件一直处于可使用状态。
如今,随着移动互联网的迅速发展,应用从需求到上线的TTM(Time to market)越来越短,普遍存在的开发和运维的“混乱之墙”成为了断裂点,为此业界开始提倡DevOps的协作模式,敏捷精益的理念进一步延伸到运维侧。同时,随着云原生基础设施的建立和CICD技术的发展,DevOps已广泛得应用到各个企业。
从“应用敏捷”到“应用敏捷+安全”但是随着数字化席卷各行各业,应用进入了我们生活的方方面面:人与人的互联、物与物的互联、人与物的互联正在成为现实,应用对于人和社会的安全威胁也逐日提升。由于应用的安全防护和安全意识还普遍滞后,为此以Built-In Security和自动化为基本理念的DevSecOps开始得到重视。DevSecOps的理念在将安全融入敏捷过程中,即通过设计一系列可集成的控制措施,增大监测、跟踪和分析的力度,优化安全实践,集成到开发和运营的各项工作中,并将安全能力赋给各个团队,同时保持“敏捷”和 “协作”的初衷。在这一理念中,企业的整个IT团队目标统一,即在保障敏捷开发的基础上,共同背负起安全的责任。
DevSecOps实际上是DevOps的延续和演进。云原生技术加持下的DevOps使得应用开发和上线周期越来越短,传统的安全团队上线前介入的模式已经严重滞后,不仅不能有效的进行系统的安全防护,而且也会影响应用的交付速度。DevSecOps的最关键理念就是强调在应用的全生命周期都内嵌安全,同时提出安全的检测和防护做到尽可能的自动化,将自动化融入安全,实现了质量、安全和速度的最佳平衡。安全应尽可能做到全场景,从基础设施、代码、镜像、到架构,同时需要做到覆盖应用的全生命周期,从开发态、运行态直至运维态。
在传统的研发过程中,研发与安全割裂,主要是因为安全影响研发效率,但自动化的安全工具可以适用当前的敏捷开发需求。基于安全与DevSecOps的强烈诉求,华为云正在逐步的将华为20年来深耕安全的能力通过云服务的形式外溢,让更多的企业能共享华为对于安全的先进理念和技术实践,华为云通过让在DevOps的每个环节都通过规范、方法论和自动化的安全服务,来实现DevSecOps的理念,如在创建应用阶段安全框架和编码规范,嵌入IDE插件的代码检查等。下面我们详细逐一来看华为云所实现的安全工具自动化以及平台化。
平台化:全流程云原生DevSecOps平台华为云提供云原生DevOps平台:华为云DevCloud软件开发平台。华为云DevCloud在业界具有较高的影响力,得到了专业咨询机构和客户的官方认可,在全流程、支持的技术栈与安全可信角度有较强的竞争力,华为云DevCloud为客户提供了从需求/规划到运维的多个服务。
